안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 01일~11월 07일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 73건이고 그중 악성은 33건으로 45.21%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 56건 대비 33건으로 23건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 20건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 33건 중 Attach-Malware형이 57.6%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2020. 11. 10. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 여전히 맹위를 떨치고 있습니다. 국민들의 바뀐 생활 환경에 발맞추어 스미싱 공격자들도 적응을 하고 있는 것으로 보입니다. 이전과는 다른 생활 환경에 대다수 국민들의 생활 패턴도 바뀌어 생필품과 외식은 온라인을 통하는 것이 일상이 되었습니다. 이런 바뀐 생활 패턴에 택배는 코로나19 이전 상황과 비교할 수 없을 정도로 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 10월 스미싱 트렌드 ESRC에서 수집 한 10월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 10월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. [표 1] 수집 스미싱 문자들의 키워드 기반 분류 위 표를..

악성코드 분석 리포트 2020. 11. 9. 18:01

New Pay2Key ransomware encrypts networks within one hour 이스라엘과 브라질을 노리는 새로운 랜섬웨어인 Pay2Key가 발견되었습니다. 이 랜섬웨어는 타깃 공격을 통해 단 한 시간 내에 네트워크를 암호화하며 아직 분석이 진행 중인 상태입니다. ID Ransomware의 제작자인 Michael Gillespie는 Pay2Key 피해자들이 주로 브라질 IP 주소에서 발생한다는 것을 발견했습니다. 이 랜섬웨어는 여러 브라질 기업을 공격했지만 브라질 정부 네트워크를 노린 RansomExx 공격과는 관련이 없습니다. 1시간 이내에 네트워크 암호화 Check Point의 보고서에 따르면 Pay2Key 랜섬웨어의 공격자는 공개적으로 노출된 원격 데스크톱 프로토콜(RDP)을 ..

국내외 보안동향 2020. 11. 9. 14:00

RansomExx ransomware now targets also Linux systems RansomExx 랜섬웨어 운영자가 악성코드의 리눅스 버전을 개발해 운영을 확대하고 있는 것으로 나타났습니다. Kaspersky의 연구원들은 RansomExx 랜섬웨어의(Defray777로도 알려짐) 리눅스 버전을 분석했습니다. 이번 주, RansomExx 랜섬웨어는 브라질의 고등 법원을 공격한 것으로 나타났습니다. RansomExx는 사람이 개입하는 랜섬웨어로 공격자가 타깃 네트워크로의 접근 권한을 얻은 후 수동으로 시스템을 감염시킵니다. 2020년 6월, 텍사스의 교통부를 노린 공격에 동일한 랜섬웨어가 사용되었습니다. 8월에는 다국적 기술 기업인 Konica Minolta의 시스템을 감염시켰으며, 9월에는 고..

국내외 보안동향 2020. 11. 9. 09:00

Apple fixes three iOS zero-days exploited in the wild 애플이 실제 공격에 악용된 것으로 발견된 iOS용 제로데이 취약점 3개를 패치하는 보안 업데이트를 공개했습니다. 구글의 위협 분석 그룹 디렉터인 Shane Huntley에 따르면, 이 iOS 제로데이 취약점 3개는 최근 공개된 크롬 제로데이 취약점 3개 [1, 2, 3] 및 윈도우 제로데이 취약점과 관련이 있습니다. 이전과 마찬가지로 구글은 공격자 또는 공격 대상에 대한 자세한 정보를 밝히지는 않았습니다. 제로데이가 특정 타깃에만 사용되었는지, 아니면 불특정 다수에 사용되었는지는 알 수 없는 상태이지만 iOS 사용자는 iOS 14.2로 업데이트 하는 것이 안전합니다. iPadOS 14.2와 watchOS 5...

국내외 보안동향 2020. 11. 6. 14:00

[11월 첫번째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 상품 배송했습니다 빠른 확인부탁드립니다.hxxp://asq[.]kr/xxxxxxxx2 （우 체 국 택 배 ）배송 했 습 니 다 han[.]gl/xxxxx3 (택 배 C A)알림 배송했습니다 url[.]kr/xxxxxx4 OOO 물류 전표번호 36****78 지정지 1일 후 배송 예정 hxxp://asq[.]kr/xxxxxxx5 건강검진 내용. (*보고*) 내 용 조회 hxxps://ko[.]gl/xxx 출처 : 알약M기간 : 2020년 11월 02일 ~ 2020년 11월..

안전한 PC&모바일 세상/스미싱 알림 2020. 11. 6. 10:16

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 랜섬웨어를 가장하여 사용자에게 비트코인을 요구하는 악성코드가 발견되어 주의가 필요합니다.공격자는 ‘2020~2021 학교 생활 안내서 (개정안).pdf.exe‘ 파일명으로 pdf파일로 위장하여 유포합니다. [그림 1] 악성코드 파일 화면 코드 분석 이 파일은 바탕화면, 다운로드, 문서 폴더에 있는 모든 파일들을 대상으로 확장자’.KRYPT’를 변경합니다. 이때 cmd 명령어 ‘ren’을 이용합니다. 즉 파일 암호화는 진행되지 않습니다. [그림 1] 확장자 변경 코드 파일 확장자를 변경한 이후, 다음과 같은 비트코인 주소 안내와 키 입력란이 포함된 랜섬 노트 화면을 보여줍니다. [그림 2] 랜섬 노트 화면 확장자 복원 키 ‘mxkxhxbxgxtxjx7x..

악성코드 분석 리포트 2020. 11. 6. 09:36

Critical bug actively used to deploy Cobalt Strike on Oracle servers 공격자들이 CVE-2020-14882 취약점이 패치되지 않은 오라클 WebLogic 서버에 Cobalt Strike 비콘을 배포하고 있는 것으로 나타났습니다. 이를 통해 해킹된 기기에 영구적인 원격 접속 권한을 얻을 수 있게 됩니다. Cobalt Strike는 합법적인 침투 테스트 툴이지만 공격자들은 이를 악용하여 작업에서 사용하기도 하고 영구적인 원격 접속 권한을 얻기 위한 비콘을 배포하는데도 사용합니다. 이로써 추후 해킹된 서버에 접속해 데이터를 수집하고 2단계 악성코드 페이로드를 배포할 수 있습니다. 랜섬웨어 공격 CVE-2020-14882 원격 코드 실행 (RCE) 취약점은 ..

국내외 보안동향 2020. 11. 6. 09:00