안녕하세요? 이스트시큐리티입니다. 최근 몇 달 사이에 국제 해킹 조직 활동이 눈에 띄게 늘었습니다. 특히 북한과 연계한 것으로 보이는 조직 '탈륨(Thallium)'이 활발하게 움직이고 있습니다. 올해 8월에는 언론사 기자를 대상으로 국내 대형 포털의 피싱 사이트를 제작해 계정을 탈취하려는 시도가 있었고, 같은 달 말에는 대북 분야 종사자를 상대로 국내 대기업의 클라우드 사진 저장 서비스를 사칭해 피싱 이메일을 보내기도 했습니다. 9월 초에는 개성공단 등 학술 연구논문 투고를 사칭해 북한 전문가를 노린 공격을 시도한 바 있으며, 10월 초에는 통일부 북한인권기록센터로 위장해 대북관련 단체를 대상으로 스피어피싱을 시도하기도 했습니다. 불과 지난주에도 미국 대선 결과 및 향후 대북 정책 변화 등을 예상한 언..

전문가 기고 2020. 11. 13. 09:00

Play Store identified as main distribution vector for most Android malware 최근 연구에서 안드로이드 기기에 악성코드가 설치되는 주요 원인으로 구글 공식 플레이스토어를 꼽았습니다. 연구원들은 NortonLifeLock의 연구원들이 제공한 원격 측정 데이터를 통해 2019년 6, 7, 8, 9월 동안 안드로이드 기기 1,200만대 이상에 설치된 앱의 출처를 분석했습니다. 연구원들은 고유 앱 790만개에 대한 총 3,400 APK(안드로이드 어플리케이션) 설치를 조사했습니다. 이들은 분석한 앱의 10~24%가 악성 앱 또는 사용자가 원하지 않는 애플리케이션일 수 있다고 밝혔습니다. 연구원들은 악성 앱이 사용자의 기기에 도달하는 경로를 알아내기 위해 “..

국내외 보안동향 2020. 11. 12. 14:00

Alleged source code of Cobalt Strike toolkit shared online 광범위하게 사용되는 Cobalt Strike post-exploitation 툴킷의 소스코드가 GitHub 저장소에서 유출된 것으로 나타났습니다. Cobalt Strike는 합법적인 침투 테스팅 툴킷으로 공격자들이 원격으로 “피해자의 시스템에서 셸 생성, 파워셸 스크립트 실행, 권한 상승, 리스너를 생성하기 위한 새로운 세션 생성”이 가능하도록 해킹된 기기에 “비콘”을 배치하는데 사용합니다. 공격자들은 해킹된 네트워크에서 지속적인 원격 접속 권한을 얻어내기 위해 Cobalt Strike의 크랙된 버전을 사용합니다. 일반적으로 랜섬웨어 공격에 주로 이용됩니다. 12일 전, Cobalt Strike 4...

국내외 보안동향 2020. 11. 12. 09:05

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48

Windows 10 Intel microcode released to fix new CPU security bugs 마이크로소프트가 인텔 CPU에서 공개된 새로운 하드웨어 취약점을 수정하기 위해 윈도우 10 20H2, 2004, 1909 및 구 버전용 인텔 마이크로업데이트를 공개했습니다. 인텔은 CPU에서 취약점을 발견하면 OS에서 CPU의 취약점을 고치거나 최소한 완화할 수 있는 마이크로코드 업데이트를 공개합니다. Graz University of Technology, CISPA Helmholtz Center for Information Security, the University of Birmingham의 연구원 그룹이 새로운 인텔 CPU 사이드 채널 취약점인 ‘Platypus’를 공개했습니다. 이 ..

국내외 보안동향 2020. 11. 11. 14:00

Watch Out! New Android Banking Trojan Steals From 112 Financial Apps 보안 연구원들이 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 4개인 “Tetrade”를 발견한 지 4개월이 지난 후, 이 공격자들이 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가한 것으로 나타났습니다. 카스퍼스키의 GReAT 팀에 따르면, 브라질의 공격 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일, 앙골라, 모잠비크의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 “Ghimob”을 배포했습니다. "Ghimob은 완전한 기능을 갖춘 주머니 속 스파이입니다. 일단 감염되면, 해커는 기기에 원격으..

국내외 보안동향 2020. 11. 11. 09:02

Fake Microsoft Teams updates lead to Cobalt Strike deployment 랜섬웨어 운영자들이 시스템을 Cobalt Strike를 배포하는 백도어에 감염시키는 가짜 마이크로소프트 팀즈 업데이트 악성 광고를 사용하고 있는 것으로 나타났습니다. 이 공격은 다양한 업계의 조직을 노리며, 최근에는 코로나19로 인해 화상 회의 솔루션을 사용하는 교육 부문(K-12)을 집중하여 공격했습니다. 인포스틸러에서 Cobalt Strike까지 Bleeping Computer에서 확인한 비공개 보안 권고에 따르면, 마이크로소프트는 고객들에게 이 가짜 업데이트(FakeUpdates) 캠페인에 대해 경고하며 Defender ATP 서비스를 통해 공격이 끼치는 영향을 줄일 수 있는 방법을 제안했..

국내외 보안동향 2020. 11. 10. 14:00

This new malware wants to add your Linux servers and IoT devices to its botnet 새로운 형태의 악성코드가 리눅스 서버와 IoT 기기를 노리고 있는 것으로 나타났습니다. 이 악성코드는 위 기기를 클라우드 컴퓨팅 인프라를 노린 해킹 캠페인의 1단계로 추측되는 봇넷에 추가합니다. Juniper Threat Labs의 사이버보안 연구원이 발견한 이 악성 웜은 컴포넌트 코드를 저장하는데 GitHub과 Pastebin을 사용하고, 리눅스 기반 x86 서버, Linux ARM, MIPS 기반 IoT 기기를 해킹하는데 12가지 방법을 사용하여 Gitpaste-12로 명명되었습니다. 위 12가지 방법에는 Asus, Huawei, Netlink 라우터 및 Mon..

국내외 보안동향 2020. 11. 10. 09:00