Source code of Dharma ransomware now surfacing on public hacking forums 악명높은 Dharma 랜섬웨어의 소스코드가 러시아어 해킹 포럼 2 곳에서 판매를 시작했습니다. Dharma 랜섬웨어는 지난 2016년 2월 처음 등장했으며, 전문가들은 Crysis라 명명했습니다. Crysis 랜섬웨어는 ESET에서 처음 발견했으며 주로 러시아, 일본, 남한, 북한, 브라질의 시스템을 감염시켰습니다. 당시 공격자는 이중 확장자를 사용하는 이메일 첨부파일이나 악성 링크를 통해 이 랜섬웨어를 배포했습니다.2016년 11월, Crysis의 마스터 암호화 키가 온라인에 공개되었으며 Crysis 버전 2,3에 피해를 입은 사람들은 파일을 복호화 할 수 있었습니다. Cry..

국내외 보안동향 2020. 3. 31. 09:04

안녕하세요? 이스트시큐리티 ESRC입니다. 최근 크게 이슈가 되고 있는 'n번방 사건' 관련 스미싱(Smishing) 공격이 확인되어 사용자들의 각별한 주의가 필요합니다. 'n번방 사건'은 2018년 하반기부터 2020년 3월까지 텔레그램 및 기타 메신저 앱을 이용해 벌어진 대규모 디지털 성범죄/성착취 사건이며, 피해자 중 미성년자가 대거 포함되어 있어 더욱 더 큰 충격을 주고 있는 희대의 범죄 사건입니다. 관련기사 : http://news.zum.com/articles/59100653 공격자들은 이러한 희대의 범죄 사건에 쏠리는 사람들의 관심을 이용하여 스미싱 공격에 활용하고 있습니다. 3/29 오후부터 유포되기 시작한 스미싱 내용은 다음과 같습니다. TTN（속보）N번방 전체회원 신상공개 https:/..

악성코드 분석 리포트 2020. 3. 30. 19:35

'오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 03월 초, 일명 '금성121(Geumseong121)'로 명명된 국가차원의 APT(지능형지속위협) 그룹의 새로운 공격 정황이 포착되었습니다. 이들은 대한민국 사이버 공간을 주요 거점지로 삼아 다양한 스파이 활동을 수행하고 있으며, 주로 외교·통일·안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화하고 있습니다. ESRC에서는 알약(ALYac) 포함 다채널 위협 인텔리전스 센서를 통해 수집된 각종지표와 증거를 기반으로 이번 침해공격 실체를 분석하였습니다. 작년 11월 '금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 A..

악성코드 분석 리포트 2020. 3. 30. 16:33

Hackers Exploit Zero-Day Bugs in Draytek Devices to Target Enterprise Networks Netlab 보고서에 따르면, 최소 2개 이상의 해커그룹이 DrayTek의 두 개의 제로데이 원격 명령 인젝션 취약점(CVE-2020-8515)을 악용중이라고 밝혔습니다. 해당 취약점은 DrayTek Vigor 엔터프라이즈 스위치, 로드밸런서, 라우터 및 VPN 게이트웨이에 존재하며, 공격자는 해당 취약점을 악용하여 트래픽을 스니핑 할 수 있으며 백도어를 설치할 수 있습니다. 제로데이 공격은 작년 11월 말에서 12월 초 처음 시작되었으며, 수 천대의 최신 펌웨어가 설치되어 있지 않은 DrayTek 스위치, Vigor 2960, 3900, 300B 디바이스 등이 영..

국내외 보안동향 2020. 3. 30. 15:37

Phishing Attack Says You're Exposed to Coronavirus, Spreads Malware 지역 병원에서 보낸 이메일로 위장하여 코로나 바이러스에 노출 되어 테스트가 필요하다고 속이는 새로운 피싱 캠페인이 발견되었습니다. 공격자는 지역 병원의 이메일로 위장하여 수신자가 코로나 바이러스 확진 판정을 받은 직장 동료, 친구, 가족과 접촉했다고 속였습니다. 그 후 수신자에게 첨부된 EmergencyContact.xlsm 파일을 인쇄하여 가까운 응급 진료소로 가져가도록 지시합니다. 이메일의 내용은 아래와 같습니다. Dear XXX You recently came into contact with a colleague/friend/family member who has COVID-19..

국내외 보안동향 2020. 3. 30. 13:43

개요 코로나19로 인하여 생활의 많은 부분에서 변화가 생겼습니다. 대부분의 국민들은 코로나19 감염을 우려하여 사람이 밀집되는 지역이나 장소를 기피하게 되었으며 오프라인 쇼핑과 외식보다는 온라인 쇼핑과 배달(택배)을 이용하고 있습니다. 스미싱 공격 조직은 이 기회를 최대한 활용하기 위해서 택배 스미싱 공격을 활발하게 진행하고 있으며 탐지 회피를 위해 스미싱 택배 문구도 다변화하는 양상을 보이고 있습니다. 택배 스미싱은 비교적 널리 알려져 있어 쉽게 당하지 않을 것으로 생각하지만 의외로 피해를 입는 경우가 많습니다. 택배 스미싱 문구가 실제 택배 기사님들이나 회사에서 보내는 것으로 보이도록 작성되어 있으며 더러는 피해자의 이름이 명시되어 있는 경우도 있기 때문입니다. 그러나 택배 스미싱 문자를 주의 깊게 ..

악성코드 분석 리포트 2020. 3. 30. 10:35

Actively Exploited Windows Font Parsing Bugs Get Temporary Fix 마이크로소프트가 지원되는 모든 버전의 윈도우의 폰트 파싱 컴포넌트에 존재하는 치명적인 취약점 2개에 대한 패치를 준비하는 동안, 사용자는 악용을 예방할 수 있는 마이크로패치 형태로 제공되는 임시 패치를 적용할 수 있게 됐습니다. 이 두 결함은 마이크로소프트가 관리하는 어도비의 Type Manager 라이브러리에 영향을 미치며 어도비 Type 1 PostScript와 OpenType 폰트를 처리하는 ATMFD.DLL 폰트 드라이버에 존재합니다. 윈도우 10 이전 시스템에서 이를 악용할 경우 상승된 권한으로 원격 코드 실행이 가능해집니다. 마이크로소프트는 현재 여러 공격자들이 구 버전 OS를 노리..

국내외 보안동향 2020. 3. 30. 09:08

Watch Out: Android Apps in Google Play Store Capitalizing on Coronavirus Outbreak 공격자들이 대중의 코로나 바이러스에 대한 두려움을 활발히 악용하여 악성코드 공격, 피싱 캠페인, 사기 사이트 및 악성 추적 앱을 만들고 있습니다. 이제는 써드파티 안드로이드 앱 개발자들 또한 이 상황을 악용하기 시작하여 악성코드를 드롭하고, 금전을 탈취하고, 구글 스토어 순위를 높이기 위해 앱 이름, 설명, 패키지명에 코로나 바이러스 관련 키워드를 끼워 넣기 시작했습니다. BitDefender의 연구원들은 “발견된 앱들 중 가장 위험한 앱들은 랜섬웨어부터 SMS 전송 악성코드, 피해자의 개인 또는 금융 데이터를 훔치도록 설계된 스파이웨어를 포함하고 있었습니다...

국내외 보안동향 2020. 3. 27. 15:23