Sodinokibi ransomware hits Managed.com hosting provider, 500K ransom 관리형 웹 호스팅 서비스 제공 업체인 Managed.com이 주말 동안 Sodinokibi 랜섬웨어 공격을 받아 시스템을 복구하기 위해 서버와 웹 호스팅 시스템을 오프라인으로 전환했습니다. 지난 월요일, Managed.com은 호스팅 서비스를 이용할 수 없는 문제를 겪었다며 이를 조사 중이라 발표했습니다. Managed.com은 지난 화요일 랜섬웨어 공격을 받았다고 밝히며 “고객 데이터의 무결성”을 보호하기 위해 고객의 웹사이트를 포함한 전체 시스템을 다운시키기로 결정했다고 밝혔습니다. Manage.com은 공지를 통해 아래와 같이 밝혔습니다. “2020년 11월 17일: Manag..

국내외 보안동향 2020. 11. 19. 14:00

Cisco Webex bugs allow attackers to join meetings as ghost users Cisco가 WebEx 화상 회의 프로그램의 공격자가 WebEx 회의에 다른 참가자들에게 보이지 않는 상태인 ‘고스트 사용자’로 참석하도록 허용하는 취약점 3개를 수정할 예정이라 밝혔습니다. 이 취약점은 올해 초 IBM의 보안 연구원들이 코로나19 팬데믹 기간에 내부에서 사용하던 원격 작업 프로그램을 검토하던 중 발견했습니다. 연구원들은 공격자가 이 취약점을 3개를 조합할 경우 아래 공격이 가능하다고 밝혔습니다. 1. 참가자 리스트에는 보이지 않으나 음성, 영상, 챗, 화면 공유 모두 접근 가능한 고스트 사용자로 WebEx 회의에 참석 2. WebEx 회의에서 추방당한 경우에도 음성을 들을..

국내외 보안동향 2020. 11. 19. 09:04

Adult site users targeted with ZLoader malware via fake Java update 올해 초부터 시작되어 현재까지 진행 중인 악성코드 캠페인이 최근 전략을 변경했습니다. 이들은 익스플로잇 키트를 더 이상 사용하지 않고 성인 콘텐츠 소비자들을 타깃으로 소셜 엔지니어링 기법을 사용하기 시작했습니다. 운영자는 오래된 트릭을 사용하여 ZLoader의 변종을 배포합니다. ZLoader는 뱅킹 트로이 목마로 2년 동안 활동을 중지했다가 올해 다시 활동을 시작했으며, 이제는 인포스틸러의 역할까지 하는 것으로 나타났습니다. Malsmoke라 명명된 이 캠페인은 트래픽이 많은 성인 사이트를 노립니다. xHamster와 같은 일부 웹사이트는 월 방문자가 수억 명에 달합니다. 또 다른 ..

국내외 보안동향 2020. 11. 18. 14:00

Cisco reveals this critical bug in Cisco Security Manager after exploits are posted – patch now Cisco가 Cisco Security Manager 소프트웨어에 영향을 미치는 치명적인 보안 취약점을 공개했습니다. 이들은 지난 주 발표된 Cisco Security Manager 버전 4.22에서 세 가지 취약점이 수정됐다고 밝혔습니다. 관리자는 Cisco Security Manager를 사용하여 Cisco의 보안 장비의 보안 정책을 관리하고 방화벽, VPN, ASA(Adaptive Security Appliance)기기, Firepower 기기, 스위치 및 라우터를 프로비저닝 할 수 있습니다. 4.22 버전에서 수정된 가장 심각한..

국내외 보안동향 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 최근 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견되어 각별한 주의가 필요합니다. [그림1] 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 화면 새롭게 발견된 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식입니다. 이 URL은 마치 국내 특정 포털 회사의 인터넷 주소처럼 비슷하게 위조되어, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계되어 있습니다. 만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 ..

악성코드 분석 리포트 2020. 11. 17. 15:57

Trojanized Security Software Hits South Korea Users in Supply-Chain Attack 사이버 보안 연구원들이 한국에서 일어나는 새로운 공급망 공격을 발견했습니다. 공격자는 원격 액세스 툴(RAT)을 타깃 시스템에 배포하기 위해 합법적인 보안 소프트웨어와 훔친 디지털 인증서를 악용합니다. 슬로바키아의 인터넷 보안 회사인 ESET은 이 작전이 히든 코브라(Hidden Cobra)로도 알려진 라자루스(Lazarus) 그룹의 소행일 것이라 추측했습니다. 또한 이들은 한국 사용자가 인터넷 뱅킹과 정부 서비스를 이용하기 위해 필수로 추가 보안 소프트웨어를 설치해야한다는 점을 이용했습니다. 이 공격은 범위가 제한되어 있지만 거래 및 지불 프로세스를 보호하기 위해 은행에..

국내외 보안동향 2020. 11. 17. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00