New Octopus Scanner malware spreads via GitHub supply chain attack 보안 연구원들이 윈도우, 리눅스, 맥OS 시스템에 확산되어 원격 관리 툴(RAT)을 설치하기 위해 GitHub 웹 기반 코드 호스팅 플랫폼에 저장된 오픈소스 NetBeans 프로젝트를 찾아 백도어를 설치하는 새로운 악성코드를 발견했습니다. GitHub Security Labs의 연구원들은 이 악성코드를 Octopus Scanner라 명명했습니다. 이 악성코드는 NetBean 저장소를 감염 시켜 JAR 바이너리, 프로젝트 파일 및 종속성 내 악성 페이로드를 심은 후 하위 개발 시스템에도 확산됩니다. GitHub의 보안대응팀(SIRT)는 지난 3월 9일 보안 연구원인 JJ로부터 GitHub..

국내외 보안동향 2020. 5. 29. 10:00

New [F]Unicorn ransomware hits Italy via fake COVID-19 infection map 코로나19 바이러스 확산 추세를 악용해 접촉자 추적 앱으로 위장된 [F]Unicorn 랜섬웨어가 유포되었습니다. 해커들은 이탈리아 사용자들을 대상으로 코로나19 감염 정보 실시간 업데이트를 제공하고 사용자를 속여 가짜 앱을 다운로드하도록 만들었습니다. 또한 이탈리아 약사 연맹 (FOFI)이라는 기관명을 사용함으로써 신뢰성을 높임으로써 사용자가 악성 실행 파일을 클릭하도록 유도했습니다. 해당 랜섬웨어는 "Immuni"라는 이름의 접촉자 추적 앱으로 위장해 이탈리아 사용자들의 휴대전화를 감염시켰습니다. 조사 결과, 해당 이메일에는 코로나19 바이러스 확산을 막기 위해 "Immuni" 접..

국내외 보안동향 2020. 5. 27. 17:51

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다. [그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 스피어 피싱 이메일 공격 방식을 사용하고 있습니다. 특히 이번에 확인된 공격의 경우, 기존 국세청 hometax(홈택스) 사칭 공격에서 한단계 진화해 발신지 도메인까지 실제 홈택스 도메인 주소(hometaxadmin@hometax.go[.]kr)처럼 정교하게 조작한 것으로 분석되었습니다. 따라서 단순히 육안 상으로 발신지 주소만으로는 악성 여부를..

악성코드 분석 리포트 2020. 5. 27. 17:39

New Android Flaw Affecting Over 1 Billion Phones Let Attackers Hijack Apps Strandhogg를 기억하시나요? 악용될 경우 악성 앱이 사용자로 하여금 민감 정보를 입력하도록 유도하기 위해 타깃 기기에 설치된 앱으로 위장하여 가짜 인터페이스를 표시할 수 있는 안드로이드 보안 취약점입니다. 작년 말, 이 취약점이 공개되었을 당시 연구원들은 공격자들이 이미 실제 공격에서 이 취약점을 악용하여 사용자의 뱅킹 및 기타 로그인 크리덴셜을 훔치고 활동을 스파잉해왔다고 밝혔습니다. 이 노르웨이의 사이버 보안 연구 팀은 안드로이드 OS에 존재하는 새로운 치명적인 취약점인 CVE-2020-0096에 대한 세부사항을 발표했습니다. 공격자들이 이를 악용할 경우 더욱 ..

국내외 보안동향 2020. 5. 27. 14:30

New Turla ComRAT backdoor uses Gmail for Command and Control 사이버 보안 연구원들이 Agent.BTZ로도 알려진 ComRAT 백도어의 새로운 버전을 발견했습니다. 이 악성코드는 Turla APT 그룹의 과거 캠페인에서 사용된 적이 있습니다. Agent.BTZ의 최신 버전은 2008년 중동의 미군 네트워크를 해킹하는데 사용되었습니다. 이 새로운 변종은 Gmail의 웹 인터페이스를 활용해 은밀히 명령을 수신하고 민감 데이터를 유출시킵니다. ComRAT v4는 2017년 활동을 시작했으며, 아직 많은 공격자들이 사용하고 있습니다. 이 새로운 변종은 최근 동유럽의 두 외무부와 코카서스 지역의 국회를 노린 공격에 사용되었습니다. 이 새로운 버전은 처음부터 직접 개발..

국내외 보안동향 2020. 5. 27. 10:09

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다. 해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다. 공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다. ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다. 라자루스 조직은 최근까지 국내..

악성코드 분석 리포트 2020. 5. 27. 10:00

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. * 코니(Konni) APT 조직 2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 이번에 발견된 공격은 스탠포드(Stanford) 대학교 ..

악성코드 분석 리포트 2020. 5. 27. 08:45

RangeAmp attacks can take down websites and CDN servers 중국 학계의 한 연구팀이 HTTP 패킷을 악용하여 웹 트래픽을 증폭시키고 웹사이트와 CDN 네트워크를 다운시키는 새로운 방법을 발견했습니다. RangeAmp라고 불리는 이 새로운 DoS 기법은 잘못 구성된 HTTP 범위 요청 속성을 익스플로잇 합니다. HTTP 범위 요청은 HTTP 표준 중 하나이며 클라이언트(일반적으로 브라우저)가 서버의 특정 부분의 파일만 요청하도록 만드는 것입니다. 이 기능은 제어된 또는 제어되지 않은 상황에서 트래픽을 일시 정지하고 재개하기 위해서 만들어졌습니다. HTTP 범위 요청 표준이 5년 넘게 국제 인터넷 표준화 기구(IETF)에서 논의되고 있지만 이것의 유용성으로 인해 이미..

국내외 보안동향 2020. 5. 26. 16:30