New Python-scripted trojan malware targets fintech companies 이메일 주소, 비밀번호, 기타 민감 정보를 훔치기 위해 핀테크(FinTech) 기업을 노리는 캠페인을 통해 새로운 트로이목마 악성코드가 배포된 것으로 나타났습니다. 이 악성코드는 정식 애플리케이션에서 추출한 코드 내부에 포함된 상태로 확산되고 있었습니다. Evilnum으로도 알려진 이 APT 그룹은 2018년 처음 등장했으며 대부분 유럽과 영국에 위치한 핀테크 기업을 노리며 도구와 전략을 수시로 변경해 공격의 성공률을 높였습니다. 일부 피해자는 미국과 호주에서 발생하였습니다. Evilnum의 활동은 자바스크립트, C#로 작성된 다양한 컴포넌트를 사용해왔으며, 현재는 공격을 위한 새로운 도구를 배포..

국내외 보안동향 2020. 9. 4. 09:00

Epic Fail: Emotet malware uses fake ‘Windows 10 Mobile’ attachments Emotet 악성코드가 2020년 1월 운영이 종료된 윈도우 10 모바일 OS로 작성한 것으로 위장한 악성 이메일 첨부파일을 사용하고 있는 것으로 나타났습니다. Emotet 봇넷은 악성 워드 문서를 포함한 스팸 메일을 통해 확산됩니다. 이러한 워드 문서는 활성화될 경우 피해자의 컴퓨터에 Emotet을 다운로드 및 실행하는 악성 매크로를 포함하고 있습니다. Emotet은 실행 직후 이후 스팸 캠페인에 활용할 목적으로 피해자의 이메일을 훔치려 시도합니다. 그 후 보통 네트워크로 확산되는 랜섬웨어 공격으로 이어지는 TrickBot, QBot과 같은 다른 악성코드를 다운로드 및 실행합니다. ..

국내외 보안동향 2020. 9. 3. 14:00

◇ 탈륨(Thallium) 해킹 조직 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 저희는 2020년 07월 25일 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】라는 스페셜 리포트를 공개한 바 있습니다. 미국 현지 시점으로 지난 08월 26일 마이크로소프트(MS)사는 '탈륨' 해킹조직에 대해 피고인이 출정하지 않은 공석상태에서 진행하는 궐석재판을 요청하였고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝혔습니다. 흥미롭게도 해당 이메일 중 일부는 MS 고소장 공개 이전 시점에 소개한 알약 블로그 분석내용의 계정과 정확히 일치합니다. 탈륨 이메일 주소 블로그 연관 정보 bitcoin024@hanmail.net bitc..

악성코드 분석 리포트 2020. 9. 3. 09:58

Cisco fixes critical code execution bug in Jabber for Windows Cisco가 윈도우용 Cisco Jabber 소프트웨어 버전 다수에 존재하는 심각한 원격코드 실행 취약점을 패치했습니다. 윈도우용 Cisco Jabber는 데스크톱 협업 프로그램으로 현재 상태 확인, 인스턴트 메시징(IM), 클라우드 메시징, 데스크톱 공유, 오디오/영상/웹 컨퍼런스 등의 기능을 제공합니다. 이 취약점은 Watchcom의 Olav Sortland Thoresen이 발견하여 신고했습니다. Cisco의 제품 보안 사고 대응 팀(PSIRT)은 현재 실제 공격에서 이 취약점이 악용되지는 않고 있다고 밝혔습니다. CVE-2020-3495로 등록된 이 보안 취약점은 CVSS 최대 점수인 9..

국내외 보안동향 2020. 9. 3. 09:00

Security Researcher Discovers Over 50,000 Scanned Driver’s Licenses Exposed on Unsecured Amazon Server 호주 뉴 사우스 웨일스의 운전면허증 54,000개의 스캔본 및 다양한 통행료 법정 신고 통지서가 포함된 데이터가 유출된 것으로 나타났습니다. 보안연구원인 Bob Diachenko는 트위터를 통해 아래와 같이 밝혔습니다. “운전면허증 5만 개 이상의 스캔본 (앞, 뒤 포함) 및 통행료 통지서가 잘못 구성된 S3 버킷을 통해 유출되었습니다. 이 데이터는 뉴 사우스 웨일즈의 도로 및 해양부(NSW RMS) 인프라의 일부인 것으로 보입니다. 하지만 아직까지 공식 답변을 받을 수 없었습니다.” 해당 데이터에는 생일, 집 주소, 운전..

국내외 보안동향 2020. 9. 2. 14:00

Iranian hackers are selling access to corporate networks 이란의 해커 그룹이 언더그라운드 포럼에서 다른 공격자들에게 해킹한 기업 네트워크에 대한 접근 권한을 판매하고 있는 것으로 나타났습니다. 또한 CVE-2020-5902에 취약한 F5 BIG-IP 기기를 악용하려고 시도하고 있었습니다. 이 이란 해커들은 2017년부터 활동해 왔으며 여러 보안 회사에서 Pioneer Kitten, Fox Kitten, Parisite라는 이름으로 추적하고 있습니다. CrowdStrike는 금일 발표된 보고서를 통해 아래와 같이 밝혔습니다. “이 공격자는 주로 이란 정부에 이득이 될만한 민감 정보를 보유하고 있는 기관에 대한 접근 권한을 얻어 관리하고 있는 것으로 보입니다.” ..

국내외 보안동향 2020. 9. 2. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 이모텟 악성코드가 국내 외로 유포되고 있어 이용자들의 주의 부탁드립니다. 공격자는 불특정 다수를 대상으로 이메일, 메시지를 통하여 이모텟 악성코드를 유포중입니다. 실제 악성 행위 수행하는 파일 유포 방법은 스크립트가 삽입된 악성 문서 파일을 첨부하거나 특정 URL로 클릭을 유도하여 최종 페이로드 다운로드를 유도합니다. [그림 1] 첨부파일이 포함된 이모텟 유포 악성 메일 [그림 2] 링크가 포함된 이모텟 악성 메일 유형 악성 문서 파일을 첨부하여 유포된 경우, 아래와 같은 3가지 케이스로 위장하여 유포되며 파워셸을 통하여 악성코드를 다운로드하는 스크립트가 첨부되어 있습니다. [그림 3] 악성 문서 템플릿 1 [그림 4] 악성 문서 템플릿 ..

악성코드 분석 리포트 2020. 9. 1. 17:02

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 23일~08월 29일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 232건이고 그중 악성은 98건으로 42.24%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 104건 대비 98건으로 6건이 감소했습니다. 일일 유입량은 하루 최저 7건(악성 1건)에서 최대 61건(악성 39건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 98건 중 Attach-Malware형이 83.7%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2020. 9. 1. 16:49