안녕하세요. ESRC(시큐리티 대응센터)입니다. 지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. [그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다. - 블록체인 소프트웨어 개발 계약서- 한미관계와 외교안보- 항공우주기업 채용관련 문서- 00광역시 코로나 바이러스 대응- 성착취물 유포사건 출석통지서 [그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면 [그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면 특정 정..

악성코드 분석 리포트 2020. 4. 28. 16:31

Microsoft Teams patched against image-based account takeover 보안 연구원들이 마이크로소프트 팀즈(Microsoft Teams)를 통해 사용자에게 일반 GIF 이미지를 보내 계정을 탈취할 수 있는 취약점을 발견했습니다. 이 취약점을 악용할 경우 팀즈 데스크톱 및 웹 버전에서 한 번에 여러 계정에 접근하고 대화와 스레드를 탈취할 수 있었습니다. 공격의 주요 조건은 teams.microsoft[.]com 아래 하위 도메인을 제어하는 것이며, 연구원들은 두 가지 선택권이 있었습니다. 마이크로소프트는 해당 취약점에 대한 제보를 받아 공격을 방지하기 위해 완화 조치를 취했습니다. 쿠키 인증 CyberArk의 보안 연구원들은 블로그를 통해 마이크로소프트 팀즈에서 이미지..

국내외 보안동향 2020. 4. 28. 14:30

Nintendo Breach Affects 160,000 User Accounts 닌텐도가 해커가 16만 사용자 계정에 접근했을 수 있다고 밝히며, 영향을 받은 사용자의 로그인을 제한하고 강제로 패스워드를 리셋한 것으로 나타났습니다. 닌텐도 측은 이제는 지원하지 않는 닌텐도 3DS 핸드셋과 Wii U 콘솔의 기존 닌텐도 네트워크 ID(NNID)를 통해 계정에 접근할 수 없도록 한다고 밝혔습니다. 4월 초부터 해커가 불법으로 획득한 NNID를 사용하여 사용자 계정에 접근하여 저장된 카드 정보로 디지털 아이템을 구매하기 시작했기 때문입니다. 이 사고로 승인되지 않은 제3자가 사용자의 이름, 생일, 성별, 국가/지역, 이메일 주소를 포함한 개인정보를 열람했을 가능성이 있는 것으로 나타났습니다. 닌텐도는 계정에..

국내외 보안동향 2020. 4. 28. 09:05

Malicious USB Drives Infect 35,000 Computers With Crypto-Mining Botnet 지난 목요일 ESET 사이버 보안 연구원들은 최소 3만 5천 대의 해킹된 윈도우 시스템으로 구성된 악성 봇넷 중 일부를 중단시켰다고 밝혔습니다. 공격자는 이들을 모네로 가상화폐를 채굴하는데 이용했습니다. "VictoryGate"라 명명된 이 봇넷은 지난 2019년 5월부터 활성화되었으며 라틴 아메리카를 주로 노렸습니다. 특히 페루를 집중적으로 노려 해킹된 기기 전체의 90%가 페루에 위치한 상태였습니다. 이 봇넷의 주요 활동은 모네로 가상 화폐를 채굴하는 것이었습니다. 금융 기관을 포함한 공공 및 민간 조직에서 피해자가 발생했습니다. ESET은 동적 DNS 공급 업체인 No-IP..

국내외 보안동향 2020. 4. 27. 15:00

South Korean and US payment card details worth nearly $2M up for sale in the underground 싱가포르의 사이버 보안 회사인 Group-IB가 약 40만 지불 카드 기록을 포함한 덤프가 4월 9일 유명 다크웹에 업로드된 것을 발견했습니다. 이 데이터베이스는 한국과 미국의 은행 및 금융 기관과 관련된 지불 기록이 담겨있었습니다. 이 기록에 대한 판매량은 2020년 다크웹에서 발생한 한국 관련 기록 판매량 중 최고 기록을 달성했습니다. 현재 언더그라운드에서는 APAC 카드 덤프에 대한 인기가 높아지고 있는 것으로 나타났습니다. 이 데이터의 출처는 아직까지 알려지지 않았습니다. Group-IB는 한국과 미국 당국에 이를 알려 적절한 조치를 취하고..

국내외 보안동향 2020. 4. 27. 08:50

안녕하세요? 이스트시큐리티입니다. 정부가 21일 코로나19 확산 방지를 위해 '사회적 거리두기'를 5월 5일까지 연장한 가운데, 코로나19의 영향으로 우리의 삶은 많이 바뀌었습니다. 원격교육, 재택근무 등 다양한 형태의 언택트 문화는 코로나19 사태 이후 가속화되었으며, 현재는 사회 전반으로 번져 한국 사회가 서서히 언택트 사회로 이동하고 있습니다. 언택트(Untact)란? 언택트란 '콘택트(contact: 접촉하다)'에서 부정의 의미인 '언(un-)을 합성한 말로, 기술의 발전을 통해 점원과의 접촉 없이 물건을 구매하는 등의 새로운 소비 경향을 의미한다. 이렇게 코로나19 이후 우리는 삶의 대부분을 사이버 세상 속에서 보내게 되었습니다. 오늘은 코로나19의 영향으로 변화한 우리의 삶을 살펴보며, 이러한..

전문가 기고 2020. 4. 24. 17:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국내 최대 모바일 중고거래 사이트에서 물품 구매 시 특정 메신저를 이용한 피싱사이트 유포와 금융 사기가 발견되어 사용자들의 주의가 필요합니다. 국내 최대 포털 중고거래 사이트에서도 이와 같은 사기 수법이 발견된 적이 있습니다. ※ 관련글 바로가기 ▶ 중고거래사이트와 카카오톡을 이용한 피싱 및 금융사기 주의보!! (20.03.18)▶ 중고마켓 마스크 안전거래 사기 주의!! (20.03.11) 기존 수법과 동일하게 정상적인 중고거래 사이트에서 사용자가 물건 구매를 위해 특정 메신저로 연락을 취하면 중고거래 사이트의 전용 송금방식을 이용하여 거래를 하기 위해 허위 피싱사이트 링크를 전달합니다. [그림1] 특정 메신저에서 전달되는 피싱사이트 화면 사용자는 구매 진..

악성코드 분석 리포트 2020. 4. 24. 16:30

NSA shares list of vulnerabilities commonly exploited to plant web shells 미 국가안보국(NSA)와 호주 통신보안국 (ASD)이 기업들에 웹 대면 서버 및 내부 서버에서 일반 웹 셸을 찾아볼 것을 경고하는 보안 권고를 발행했습니다. 웹 셸은 오늘날 가장 널리 사용되는 악성코드 유형 중 하나입니다. “웹 셸”이라는 용어는 해킹된 서버에 설치된 악성 프로그램이나 스크립트를 의미합니다. 웹 셸은 해커가 해킹된 서버 및 파일 시스템을 조작하는데 사용할 수 있는 비쥬얼 인터페이스를 제공합니다. 웹 셸 대부분에는 서버에서 해커가 사용 가능한 파일의 이름 변경, 복사, 이동, 편집기능 및 새로운 파일 업로드 기능 등이 포함되어 있습니다. 파일 및 디렉토리의 권..

국내외 보안동향 2020. 4. 24. 15:24