안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

Ransomware encrypts from virtual machines to evade antivirus Ragnar Locker 랜섬웨어가 피해자의 파일을 암호화하기 위해 윈도우 XP 가상 머신에 배치되어 호스트에 설치된 보안 소프트웨어의 탐지를 우회하고 있는 것으로 나타났습니다. Ragnar Locker는 2019년 12월 말 활동을 시작한 비교적 새로운 랜섬웨어로 주로 기업 네트워크를 노립니다. 이 랜섬웨어는 에너지 대기업인 EDP(Energias de Portugal)를 공격하여 암호화되지 않은 파일 10TB를 훔쳤다고 주장하며 랜섬머니로 1090만 달러를 요구한 것으로 유명합니다. Ragnar Locker는 네트워크에 배포될 때 탐지를 회피하기 위한 새로운 방법을 사용한 전적이 있습니다. 많..

국내외 보안동향 2020. 5. 25. 14:00

Hackers leak credit card info from Costa Rica's state bank Maze 랜섬웨어 운영자들이 코스타리카 은행 (BCR, Bank of Costa Rica)에서 훔친 신용카드 데이터를 공개했습니다. 이들은 매주 파일을 유출하겠다고 협박해 왔습니다. 이 해커들은 과거 코스타리카 은행을 해킹했다고 주장했었습니다. 해당 은행은 침입 사실을 부인했으며, 해커는 그들의 주장을 증명하기 위해 이같이 정보를 공개한 것으로 보입니다. 유출된 정보 중 유효한 번호도 발견돼 Maze 운영자들은 그들의 “유출” 사이트를 통해 코스타리카 은행 고객의 지불 카드 번호가 담긴 2GB 상당의 스프레드시트를 공개했습니다. 공격자들은 수익을 내기 위해 이 데이터를 활용하지 않을 것이기 때문에 공..

국내외 보안동향 2020. 5. 25. 09:12

New 'Spectra' attack breaks the separation between Wi-Fi and Bluetooth 독일과 이탈리아 연구진은 노트북, 스마트폰, 태블릿 등의 동일한 기기에서 실행되는 Wi-Fi와 블루투스 기술 간의 경계를 허무는 새로운 공격을 개발했다고 밝혔습니다. "Spectra"라는 이름의 이 공격은 Wi-Fi, 블루투스, LTE 등의 전파 기반 무선 통신을 처리하는 특수 칩인 "콤보칩"에서 동작합니다. 연구팀에 따르면, 새로운 취약점 공격 "Spectra"는 데이터 전송이 동일 스펙트럼에서 발생하는 점을 이용하며, 이때 무선 칩은 채널 액세스를 중재해야 합니다. 또한 칩셋 벤더가 제품에 포함시킨 공존 메커니즘을 공격에 활용했습니다. 콤보칩은 이러한 메커니즘을 이용해 빠른 ..

국내외 보안동향 2020. 5. 22. 17:00

Adobe fixed several memory corruption issues in some of its products Adobe가 Adobe Character Animator 제품에 존재하는 원격 코드 실행 취약점(CVE-2020-9586)을 해결하는 패치를 공개했습니다. 지난 화요일, Adobe는 보안 권고를 통해 RCE 공격을 발생시키는 스택 기반의 버퍼 오버플로우 취약점에 대해 고객들에게 경고했습니다. Windows 및 macOS 기기에서 실행되는 Adobe Character Animator 3.2 및 이전 버전은 CVSS 스코어 7.8을 기록한 해당 취약점의 영향을 받습니다. 아직 해당 보안 취약점이 실제 공격에 악용된 정황은 확인되지 않았습니다. 그러나 공격자는 사용자로 하여금 조작된 악성..

국내외 보안동향 2020. 5. 22. 15:57

[5월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1[Web발신] 택배배송지주소확인바랍니다 . [ㅇㅇ통운]2[Web발신][ㅇㅇ택 배] ㅇㅇㅇ 주문 상품 전송 불가 고객 정보 부정확 수정 3[Web발신][ㅇㅇ택배] ㅇㅇㅇ 입력하신 주소정보가 올바르지 않습니다. 주소/정정4송장번호 [655******7] 미확인입니다 반송처리 하오니 주소 확인 5[ㅇㅇ저축은행 - 정부지원 대환대출 간편대출신청]고객명 : ㅇㅇㅇ고유번호 : L984325본인인증PIN : 220.142.175.227:30담당자 : 김희재 ① 상단의 본인인증PIN 옆에 ..

안전한 PC&모바일 세상/스미싱 알림 2020. 5. 22. 15:30

New PipeMon malware uses Windows print processors for persistence 비디오 게임 회사들이 Winnti 또다시 해킹 그룹의 공격을 받고 있습니다. 이들은 PipeMon이라는 악성코드를 사용하고 지속성을 달성하기 위한 새로운 방법을 사용합니다. PipeMon은 모듈형 백도어로 올해 초 MMO 게임 개발사 다수의 서버에서 발견되었습니다. 과거 활동 Winnti 그룹의 활동은 2011년부터 탐지되기 시작했습니다. 피해자 대부분은 비디오게임 및 소프트웨어 업계였으나 일부 의료 및 교육 부문을 노렸습니다. 이 공격자들은 공급망 공격으로 잘 알려져 있습니다. 사용자 수백만이 넘는 소프트웨어와 (Asus LiveUpdate, CCleaner) 금융 부문에 (NetSar..

국내외 보안동향 2020. 5. 22. 14:30

Cisco: Critical Java flaw strikes 'call center in a box', patch urgently Cisco는 자사의 콜센터 플랫폼인 Unified CCX(Unified Contact Center Express)를 사용하는 조직에 업데이트를 가능한 한 빨리 설치해야 한다고 경고했습니다. Cisco는 Unified CCX의 Java 기반 원격 관리 인터페이스 내 치명적인 역직렬화 취약점을 수정하는 업데이트를 공개했습니다. 원격 공격자가 이를 악용할 경우 크리덴셜 없이도 기기에 악성코드를 설치할 수 있는 것으로 나타났습니다. Cisco는 Unified CCX를 상담원 최대 400명이 안전하고 쉽게 고객을 지원할 수 있는 통합 커뮤니케이션 솔루션이라고 설명했습니다. 보안 전문가..

국내외 보안동향 2020. 5. 22. 08:39