Hacker leaks database of dark web hosting provider 한 해커가 다크웹 서비스의 가장 큰 무료 웹 호스팅 제공 업체인 DH(Daniel’s Hosting)의 데이터베이스를 공개했습니다. 이 데이터는 해커가 올해 초 DH를 해킹했을 당시 얻은 것입니다. 당시 DH의 Daniel Winzen은 ZDNET 측에 해커가 그의 포털을 해킹해 데이터베이스를 훔치고 모든 서버를 삭제했다고 밝혔습니다. 침해가 발생한 뒤 2주 후인 3월 26일, DH는 서비스 중단을 발표하며 사용자들에게 새로운 다크웹 호스팅 제공업체로 사이트를 이관할 것을 권장했습니다. DH의 서비스 중단으로 인해 전체 다크웹 포털의 약 1/3인 사이트 7,600곳의 운영이 중단되었습니다. 민감 데이터 온라인에 유..

국내외 보안동향 2020. 6. 2. 10:04

Critical 'Sign in with Apple' Bug Could Have Let Attackers Hijack Anyone's Account 최근 애플은 'Sign in with Apple' 시스템에 영향을 미치는 심각 수준의 취약점을 제보한 인도의 한 취약점 연구원에게 백만 달러 상당의 버그 바운티를 지급했습니다. 현재 해당 취약점은 패치되었으며, 원격 공격자가 악용할 경우에는 인증을 우회하고 'Sign in with Apple' 옵션을 사용해 등록된 서드파티 서비스 및 앱의 사용자 계정을 탈취할 수 있습니다. 작년에 Apple의 WWDC 콘퍼런스에서 새롭게 선보인 기능인 'Sign in with Apple'은 사용자의 실제 이메일 주소를 노출하지 않고 서드파티 앱 계정에 로그인할 수 있도록 지..

국내외 보안동향 2020. 6. 1. 16:20

List of well-known web sites that port scan their visitors 많은 유명 웹사이트에서 사용자의 로컬 컴퓨터에 원격 접속 프로그램이 있는지 확인하기 위해 포트를 스캔하는 사기 방지 스크립트를 사용하고 있는 것으로 나타났습니다. 지난주, eBay.com 사이트에서 방문자 컴퓨터의 포트를 스캐닝한다는 소식이 보도되었습니다. 이 포트 스캐닝은 LexisNexis의 ThreatMetrix 사기 방지 스크립트가 실행하며, 해킹된 컴퓨터가 사기성 구매를 시도하는지 탐지하기 위한 것으로 나타났습니다. 이 기능이 실행될 경우 웹소켓을 사용하여 방문자의 컴퓨터에서 TCP 포트 14개를 스캔합니다. 이 포트는 모두 원격 접속 프로그램이 합법적인 목적으로 사용하기 위한 것입니다. 하..

국내외 보안동향 2020. 6. 1. 14:30

Nworm: TrickBot gang’s new stealthy malware spreading module Trickbot 뱅킹 트로이목마가 한 단계 더 진화해 스텔스 모드를 사용하여 탐지되지 않은 채 조용히 윈도우 도메인 컨트롤러를 감염시키는 새로운 악성코드 확산 모듈을 추가한 것으로 나타났습니다. 뱅킹 트로이목마로 시작된 TrickBot 악성코드는 지속적으로 새로운 악성 모듈을 추가하여 진화해 왔습니다. 이 악성 모듈의 역할은 네트워크를 통한 측면 확산, 활성 디렉터리 서비스 데이터베이스 탈취, 쿠키 및 OpenSSH 키 탈취, RDP/VNC/PuTTY 크리덴셜 탈취 등이 있었습니다. 또한 TrickBot은 네트워크 침투 후 랜섬웨어를 배포하기 위해 Ryuk과 같은 랜섬웨어 운영자들과 함께 파트너를..

국내외 보안동향 2020. 6. 1. 08:40

Valak a sophisticated malware that completely changed in 6 months 최초 발견 당시에는 로더로 분류되었던 Valak 악성코드가 지난 6개월 간의 공격 업그레이드 작업을 통해 인포스틸러 기능을 탑재한 변종으로 재등장했습니다. Valak은 2019년에 최초 발견된 악성코드로 주로 미국을 대상으로 하는 여러 캠페인에 사용되었으며, 초기에는 로더로 분류되었습니다. 2020년 4월에 인포스틸러 기능을 탑재한 형태로 새롭게 발견되었습니다. Gozi라는 이름으로도 알려진 Ursnif, IcedID 악성코드와 함께 사용되는 경우가 많으며, 2020년 4월 기준으로 미국과 독일 사용자를 대상으로 하는 공격에서 지속적으로 등장했습니다. 조사 결과, 업그레이드 버전의 Val..

국내외 보안동향 2020. 5. 29. 16:52

[5월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1[긴급재난비자금] 상품권이 도착했읍니다. 확인해주세요.2[ㅇㅇ택 배]정ㅇㅇ물품확인.고객 문앞 1박스택배배송완료 사진3[ㅇㅇ택배] ㅇㅇㅇ 입력하신 주소정보가 올바르지 않습니다. 주소/정정4한국 WMS 물류센터에서 이미 클릭을 보내왔다5"-ㅇㅇ CAPITAL-" ㅇㅇ캐피탈모바일 서류자동화 제출 안내 URLhttp://xx.xxx.xxx.xxㅇㅇ 캐피탈 어플리케이션 다운로드 및 설치 ② 어플 실행 후 신청서 작성 신청서 작성후 간편전자서류 유지 부탁드립니다 담당자 박철은 신청서 다..

안전한 PC&모바일 세상/스미싱 알림 2020. 5. 29. 15:22

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어 각별한 주의가 필요합니다. [그림 1] 전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용 악성 DOC 파일은 ‘My Interview on COVID-19 with NCNK.doc’ 이름으로 발견되었으며 지난 05월 26일 제작된 것으로 확인되었습니다. ESRC에서는 해당 공격은 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격 기법과 속성이 동일한 것으로 확인했으며 기존에 보고된 바 있는 ‘스모크 스크린(Smoke Screen)’..

악성코드 분석 리포트 2020. 5. 29. 15:00

Cisco discloses security breach that impacted VIRL-PE infrastructure 금일 Cisco가 보안 침해 사고를 겪었으며 백엔드 인프라의 작은 부분에 영향을 받았다고 밝혔습니다. Cisco는 금일 보안 경고를 발행해 해커가 아래 서버 6곳에 접근하기 위해 Cisco가 일부 제품에 번들로 포함한 SaltStack 소프트웨어 패키지 내 취약점을 악용했다고 밝혔습니다. us-1.virl.infous-2.virl.infous-3.virl.infous-4.virl.infovsm-us-1.virl.infovsm-us-2.virl.info 이 서버 6곳은 VIRL-PE(Internet Routing Lab Personal Edition)를 위한 백엔드 인프라를 제공하는 ..

국내외 보안동향 2020. 5. 29. 14:30