안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 Mac OS를 위한 최적의 백신 솔루션 '알약 Mac 1.0'을 정식 출시하였습니다. [그림] 알약 Mac 패키지 이미지 새롭게 출시한 ‘알약 Mac’은 마이크로소프트의 윈도에 이어 가장 많이 사용되는 애플의 PC 제품군인 매킨토시(Macintosh, Mac) OS 환경에서 동작하는 ‘기업용 통합 백신’ 프로그램입니다. 지금까지 Mac OS(이하 맥 OS)는 강한 폐쇄성과 낮은 시장 점유율로 인해 윈도 대비 악성코드 발생 비율이 상대적으로 적어, ‘보안 위협으로부터 안전한 OS’로 인식되어 왔습니다. 하지만 맥 OS의 세계 점유율이 두 자릿수로 진입하면서부터 악성코드 발생이 꾸준히 증가해 왔으며, 최근에는 증가세가 매우 가파르게 나타나 맥 OS 보안 위협..

이스트시큐리티 소식 2020. 12. 15. 15:12

Hacking group’s new malware abuses Google and Facebook services Molerats 사이버 스파이 그룹이 최근 스피어피싱 캠페인에서 Dropbox, Google Drive, Facebook을 사용하고 명령 및 제어 통신을 통해 훔친 데이터를 저장하는 새로운 악성코드를 사용하는 것으로 나타났습니다. 이 해커 그룹은 최소 2012년부터 활동해왔으며, ‘Gaza Cybergang’이라 불리는 더 큰 그룹의 저예산 부서로 추측됩니다. 백도어 2개와 다운로더 하나 Molerats 그룹은 최근 공격에서 백도어 2개(SharpStage, DropBook)와 이전에 문서화되지 않은 악성코드 다운로더인 MoleNet을 사용했습니다. 사이버 스파잉 활동을 위해 설계된 이 악성..

국내외 보안동향 2020. 12. 15. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 12월 06일~12월 12일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 189건이고 그중 악성은 47건으로 24.87%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 45건 대비 47건으로 2건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 54건(악성 23건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Attach-Phishing형이 53.2%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2020. 12. 15. 09:30

Google outage tied to authentication system outage, not supply chain attacks 어제인 월요일, 구글의 애플리케이션 다수가 중단되는 사고가 발생했습니다. 구글은 이 사고의 원인에 대해 인증 시스템이 중단되었기 때문이라 밝혔습니다. 여러 보안 전문가들은 이 사건에 대해 지난 주말 미 재무부와 상무부에서 발생한 해킹 사건과 관련이 있는 것은 아닌지 의문을 가졌습니다. 구글은 내부 저장 용량 문제로 인하여 약 45분동안 인증 시스템이 중단되었음을 알리는 공지를 발표했습니다. 보고서에 따르면, 사용자들은 약 1시간 동안 유튜브, 구글 문서, 지메일을 이용할 수 없었습니다. 구글은 해당 기간 동안 사용자의 로그인이 필요한 서비스에서 높은 확률로 오류가 발생..

국내외 보안동향 2020. 12. 15. 09:04

Subway marketing system hacked to send TrickBot malware emails 영국 서브웨이가 마케팅 캠페인에 사용된 시스템이 해킹되어 고객들에게 악성코드가 포함된 피싱 이메일이 전송되었다고 밝혔습니다. 현지 시간으로 12월 11일, 영국의 서브웨이 고객은 ‘Subcard’로부터 주문이 완료되었다는 수상한 이메일을 받기 시작했습니다. 이메일에는 클릭할 경우 주문을 확인할 수 있다고 주장하는 링크가 포함되어 있었습니다. 해당 피싱 이메일을 분석한 결과 TrickBot 악성코드의 최신 버전을 설치하는 악성 엑셀 문서를 배포하고 있는 것으로 밝혀졌습니다. TrickBot은 공격자가 저장된 브라우저 비밀번호를 훔치고, 네트워크를 통해 확산시키고, 브라우저 쿠키를 훔치고, RDP..

국내외 보안동향 2020. 12. 14. 14:00

PgMiner botnet attacks weakly secured PostgreSQL databases 보안 연구원들이 PostgreSQL 데이터베이스에 크립토마이너를 설치하는 봇넷 공격을 발견했습니다. 연구원들이 PgMiner라 명명한 이 봇넷은 금전적 이익을 얻기 위해 웹 기술을 노리는 수 많은 사이버 범죄 활동들 중에서 가장 최근 발견된 것입니다. Palo Alto Networks Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 연결된 PostgreSQL 데이터베이스에 브루트포싱 공격을 수행합니다. 이 공격은 간단한 패턴을 통해 수행됩니다. 봇넷은 공개 네트워크 범위 중 하나를 랜덤으로 뽑은 후 (예: 18.xxx.xxx.xxx) 해당 범위 내 IP 주소에서 온라인에 PostgreSQL 포..

국내외 보안동향 2020. 12. 14. 09:06

250,000 stolen MySQL databases for sale on dark web auction site 해커들이 해킹된 MySQL 서버 수만 대에서 훔친 25만 데이터베이스를 판매하기 위해 다크웹에 경매 사이트를 만들었습니다. 수집된 데이터의 전체 크기는 7TB이며, 이는 지난 10월 이후 급증한 데이터베이스 랜섬 사업의 일부입니다. 데이터베이스 랜섬 공격 급증 지난 5월, Bleeping Computer는 공격자들이 온라인 스토어의 SQL 데이터베이스를 훔치고 피해자가 0.06 비트코인을 지불하지 않을 경우 데이터를 공개하겠다고 협박하는 캠페인에 대해 보도했습니다. 일반 웹상의 해커의 웹사이트에는 데이터베이스가 31개만 등록되어 있지만, 랜섬노트에 기재된 지갑에 대한 악용 신고 횟수가 20..

국내외 보안동향 2020. 12. 11. 14:00