안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 경찰청 사칭 악성 메일 이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. [그림 2] 악성 메일에 포함된 첨부파일 문서.exe 파일 분석 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. ..

악성코드 분석 리포트 2020. 4. 8. 09:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19가 여전히 기승을 부리고 있는 요즘, '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일이 유포되어 사용자들의 각별한 주의가 필요합니다. 관련 내용은 이미 4월 1일, 이스트시큐리티에서 보도자료를 통해 주의를 당부한 적이 있습니다. (▶ 관련기사) [그림 1] '인천시 코로나 바이러스 대응' 제목의 악성 메일 이번에 발견된 이메일은 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있습니다. 또한 해당 메일은 개인 이메일로 수신되었으며, 수신자의 이름이 포함되어 있어 유출된 개인정보를 악용한 APT 공격으로 추측하고 있습니다. 악성 메일에는 ‘_인천광역..

악성코드 분석 리포트 2020. 4. 7. 15:47

Interpol: Ransomware attacks on hospitals are increasing 인터폴이 현재 코로나바이러스가 성행함에도 불구하고 랜섬웨어를 이용해 병원을 공격하고 있다고 경고했습니다. 다양한 랜섬웨어 변종 운영자들은 지난 달 BleepingComputer 측에 코로나바이러스 팬데믹으로 인해 건강 및 의료 관련 조직은 공격하지 않을 것이라 밝혔지만, 놀라운 일은 아닙니다. Maze 랜섬웨어는 의료 시설을 공격하지 않겠다고 선언하기 전 약품을 검사하는 회사로부터 훔친 데이터를 공개했으며, Ryuk은 병원이 매일 새로운 코로나바이러스 환자로 북새통을 이루는 와중에도 지속적으로 의료 기관을 공격했습니다. 러시아어를 구사하는 공격자들 또한 유럽의 제약 및 제조 회사 2곳에 랜섬웨어 공격을 ..

국내외 보안동향 2020. 4. 7. 14:26

안녕하세요. ESRC(시큐리티 대응센터)입니다. 일반적인 기업들의 상여금 발급 시즌을 맞이하여 '직원활동상여금발급청구서_1.doc' 파일명으로 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 문서에는 악성 매크로가 포함되어 있으며, 워드 파일 내용에 [콘텐츠 사용]을 활성화 하라는 문구로 사용자들에게 매크로 기능 활성을 유도합니다. [그림 1] 악성 매크로가 포함된 워드파일 특이한 점은, 악성 매크로가 포함된 워드문서의 코드페이지 식별자가 중국어(936)로 설정되어 있다는 점 입니다. [그림 2] 코드페이지 설정 화면 만약 사용자가 [콘텐츠 사용]을 눌러 매크로 기능을 활성시킨다면, 워드문서에 포함되어 있던 악성 VBA매크로가 실행되게 됩니다. 이렇게 실행된 악성 VBA매크로는 미리 설정된 ..

악성코드 분석 리포트 2020. 4. 7. 14:26

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 1분기, 알약을 통해 총 185,105건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다. 통계에 따르면, 2020년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 185,105건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,057건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. ESRC는 1분기 랜섬웨어 주요 동향으로 랜섬웨어 공격자들의 '코로나 키워드 활용' 및 기존 ‘Sodinokibi&Nemty 랜섬웨어의 건재’를 꼽았습니다. 2..

전문가 기고 2020. 4. 7. 13:42

PSA: Fake Zoom installers being used to distribute malware 공격자들이 악성코드와 애드웨어 애플리케이션을 함께 설치하는 인스톨러를 배포하기 위해 Zoom 화상 회의 서비스의 인기를 악용하고 있는 것으로 나타났습니다. 사람들이 실내에서 더 많은 시간을 보내고 물리적/사회적 거리두기를 실행함에 따라 재택 근무를 위한 화상 회의, 운동 수업, 화상을 통한 모임을 위해 Zoom을 사용하기 시작했습니다. 이를 노린 공격자들은 코인 마이너, 원격 액세스 트로이목마, 애드웨어를 번들로 포함한 Zoom 클라이언트 인스톨러를 배포하기 시작했습니다. 트렌드마이크로는 피해자의 컴퓨터에 가상화폐 채굴기를 설치하는 Zoom 인스톨러가 현재 배포중이라 보고했습니다. “합법적인 화상 컨..

국내외 보안동향 2020. 4. 7. 09:38

Firefox 브라우저에서 제로데이 취약점 두개(CVE-2020-6819, CVE-2020-6820)가 발견되었습니다. 이 두 개의 취약점은 nsDocShell destructor 컴포넌트 혹은 ReadableStream을 처리할 때 경쟁조건에서 use-after-free 취약점이 발생하며, 해당 취약점을 통해 공격자는 Firefox 메모리 내 악성코드 드랍 및 실행할 수 있습니다. 영향받는 버전 Firefox < 74.0.1Firefox ESR < 68.6.1 패치방법 Firefox 74.0.1버전으로 업데이트Firefox ESR 68.6.1 버전으로 업데이트 참고 : https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

국내외 보안동향 2020. 4. 6. 16:28

A hacker has wiped, defaced more than 15,000 Elasticsearch servers 최근 보안 연구원들에 따르면, 지난 2주 동안 공격자들이 암호 없이 공개되어있는 Elasticsearch 서버에 접근하여 서버에 저장되어 있던 정보들을 삭제한것으로 확인되었습니다. 이 공격자들은 공격 과정 중, 한 사이버 보안 회사의 이름을 남겨두어 다른 조직이 한 것처럼 위장하려 시도하였습니다. 이번 공격은, 2020년 3월 24일 전후로 처음 시작한 것으로 밝혀졌습니다. 보안연구원에 따르면, 이번 공격 중 공격자는 자동화된 스크립트를 사용하였으며, 이 스크립트는 통하여 외부 인터넷에 공개되어 있으며 비밀번호가 설정되어있지 않은 ElasticSearch 시스템을 서칭하는 역할을 합니다..

국내외 보안동향 2020. 4. 6. 15:51