안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 09월 27일~10월 03일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 234건이고 그중 악성은 100건으로 42.74%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 139건 대비 100건으로 39건이 감소했습니다. 일일 유입량은 하루 최저 6건(악성 2건)에서 최대 72건(악성 36건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 100건 중 Attach-Malware형이 87.0%로 가장 많았고 뒤이어 Attach-Phi..

악성코드 분석 리포트 2020. 10. 7. 09:00

Crypto-mining malware adds Linux password stealing capability TeamTNT 사이버 범죄 그룹이 크립토마이닝 웜 악성코드를 업데이트 했습니다. 이들은 악성코드에 비밀번호 탈취 기능과 네트워크 스캐너를 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 했습니다. 이 그룹은 해킹된 기기에서 무단으로 모네로(XMR)를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있지만, 이제 이 크립토재킹 악성코드는 사용자의 자격 증명 또한 수집하도록 업그레이드되었습니다. 비밀번호 스틸러, 스캐닝 기능 업그레이드 Unit 42 연구원들이 TeamTNT가 악성코드의 기능을 개선하는 작업을 진행 중이라는 것을 발견했습니다. 이번에는 mimipy(윈도우, 리눅스, mac..

국내외 보안동향 2020. 10. 6. 14:00

MosaicRegressor: Second-ever UEFI rootkit found in the wild 실제 공격에 사용된 UEFI 루트킷이 두 번째로 발견되었습니다. 보안 연구원들은 2019년부터 NGO조직 2곳에 대한 공격을 조사하던 중 이를 발견했습니다. UEFI(Unified Extensible Firmware Interface) 펌웨어는 컴퓨터의 마더보드에 납땜된 SPI 플래시 스토리지에 설치되기 때문에 OS를 재설치하거나 하드드라이브를 교체해도 제거할 수 없습니다. 따라서 악성코드는 높은 지속성을 얻을 수 있게 됩니다. 카스퍼스키 연구원인 Mark Lechtik과 Igor Kuznetsov는 이 UEFI 부트킷을 발견 후 MosaicRegressor라 명명했습니다. 이는 모듈형 다단계 악성..

국내외 보안동향 2020. 10. 6. 09:25

Facebook sues two Chrome extension makers for scraping user data 페이스북이 두 회사를 상대로 소송을 제기했습니다. 이 회사는 페이스북과 인스타그램 웹사이트에서 무단으로 사용자의 데이터를 수집하는 악성 브라우저 확장 프로그램을 생성 및 배포한 것으로 나타났습니다. 소송을 당한 두 회사는 델라웨어에 자회사를 둔 이스라엘 회사인 BrandTotal Ltd.와 델라웨어의 Unimania Inc.입니다. 이 두 회사는 크롬 공식 웹 스토어에서 다운로드 가능한 크롬 확장 프로그램인 UpVoice와 Ads Feed를 운영하고 있습니다. 이는 각각 2019년 9월, 11월에 등록되었으며 다운로드 횟수는 5,000회, 10,000회 이상에 달합니다. 페이스북은 법원 서..

국내외 보안동향 2020. 10. 5. 14:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다. [그림 1] Makop 랜섬웨어 이메일 본문 첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다. [그림 2] pdf로 위장된 랜섬웨어 파일 이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다. [그림 3] 섀도 볼륨 삭제 명령 또한 특정 프로세스들을 종료시킵니..

악성코드 분석 리포트 2020. 10. 5. 11:37

Beware: New Android Spyware Found Posing as Telegram and Threema Apps 중동에서 발생한 공격으로 알려진 해킹 그룹이 Telegram, Threema와 같은 정식 앱으로 위장한 새로운 악성 코드를 통해 안드로이드 기기를 감염시키고 있었던 것으로 나타났습니다. 이 악성코드를 분석한 ESET은 아래와 같이 언급했습니다. “Android/SpyC23.A의 2017년 문서화된 버전과 비교했을 때 스파잉 기능이 더욱 확장되었습니다. 메시징 앱의 알림 읽기, 전화 기록, 화면 녹화 기능이 추가되었으며 내장 안드로이드 보안 앱의 알림을 없애는 등 새로운 스텔스 기능이 생겼습니다.” 2017년 Qihoo 360에서 Two-tailed Scorpion (APT-C-23..

국내외 보안동향 2020. 10. 5. 09:00

Unknown FinSpy Mac and Linux versions found in Egypt 국제 앰네스티에서 이집트의 시민 단체를 노리는 새로운 스파잉 캠페인을 발견했습니다. 이들은 악명높은 FinSpy 감시 스파이웨어의 이전에 알려지지 않은 새로운 버전을 사용했습니다. 이 캠페인에 사용된 FinSpy의 새로운 버전은 리눅스 및 맥OS 시스템에서 스파잉이 가능합니다. Finisher(FinFisher로도 알려짐)는 정부 및 법 집행 기관에서 조사용으로 사용하는 멀티 플랫폼 감시 소프트웨어입니다. 하지만 이는 압제 정권이 반 체제 인사, 활동가, 언론을 감시하는데 사용한 것으로 알려졌습니다. 이는 2011년부터 바레인, 에티오피아, UAE를 포함한 많은 국가의 인권 수호자(HRD)를 노린 공격에 사용되..

국내외 보안동향 2020. 9. 29. 14:00

[9월 다섯번째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [우체국]운송번호[33**38]미배송/반송물품1건 확인부탁합니다 ShOrTUrl[.]at/xxxxx2 [Web발신][CJ대한통운] 고객님의 택배상품 배달완료(보관 완료 1박스) 사진:itsssl[.]com/xxxxx3 로젠택 배배송했습니다 ShorTUrL[.]AT/xxxxx4 [Web발신]2020 국민 건강검진 통지서 내용을 확인하세요:xx.xxxxx[.]mobi5 [Web발신] 안전을 위해 근처 전염병 상황을 확인하십시오 bitly[.]kr/xxxxx 출처 : 알약M기..

안전한 PC&모바일 세상/스미싱 알림 2020. 9. 29. 11:38