안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 이력서 확인 메일로 ‘Trojan.Ransom.Makop’(이하 Makop 랜섬웨어)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 이용자에게 ‘이력서.tar’ 첨부파일 실행을 유도합니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드입니다. [그림] 이력서 위장 메일 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Makop’ 탐지 명으로 진단하고 있으며, 관련 상세 분..

악성코드 분석 리포트 2020. 5. 18. 09:00

RATicate drops info stealing malware and RATs on industrial targets Sophos의 보안 연구원들이 기업들을 노리며 NSIS 인스톨러를 악용하여 원격 접속 툴(RAT) 및 인포스틸러 악성코드를 배포하는 한 해킹 그룹을 발견했습니다. 연구원들은 RATicate 공격자들이 2019년 11월 ~ 2020년 1월 사이에 공격을 5차례 실행해 유럽, 중동, 대한민국의 산업 기업을 노렸다고 밝혔습니다. 또한 과거 발생한 다른 유사 캠페인과 관련이 있을 것으로 의심했습니다. - 루마니아 전기 장비 제조 기업- 쿠웨이트 건설 서비스 및 엔지니어링 기업- 한국 인터넷 기업- 한국 투자 관련 기업- 영국 건축 자재 제조 기업- 한국 의학 뉴스 언론사- 한국 통신 및 전기..

국내외 보안동향 2020. 5. 18. 08:45

[5월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1[Web발신] 전국민코로나19위기극복을위한 긴급재난지원금 조회 및 안내 서비스2[ㅇㅇ택 배]ㅇㅇㅇ고객 배송 완료 현관 1박스 물품.사진 :3[Web발신] n번방동영상4송장번호 [558*******7] 미확인입니다 반송처리 하오니 주소 확인 :5방금 전화드린 강민석입니다. 접수증 받아보실주소 http://xxx.xxx.xxx.xxx 입니다 출처 : 알약M기간 : 2020년 5월 11일 ~ 2020년 5월 15일

안전한 PC&모바일 세상/스미싱 알림 2020. 5. 15. 18:52

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명으로 악성코드가 유포중임이 확인되었습니다. 공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 악성문서를 통해 사용자의 문서 열람&실행을 유도합니다. 이 악성문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 악성 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다. 이 형태는 지난 4월에 직원 상여금 발급청구서로 위장하여 유포되었던 케이스와 거의 유사합니다. ※ 관련글 보기 ▶ 직원 활동 상여금 발급청구서를 위장하여 유포되고 있는 악성코드 주의! (20.04.07) [그림 1] ‘upbit 신입 사원 입력 양식.docx’ 실행 ..

악성코드 분석 리포트 2020. 5. 15. 18:39

ProLock Ransomware teams up with QakBot trojan for network access ProLock은 비교적 새로운 악성코드지만, 기업 및 지방 정부를 대상으로 파일 복호화에 엄청난 금액을 요구함으로써 빠르게 주목 받고 있습니다. 가장 최근 이 악성코드의 피해를 입은 기업은 ATM 제공 업체로 알려진 Diebold Nixdorf입니다. 공격은 암호화 단계 이전에 발각되었으며 시스템에 아무런 영향을 미치지 못했습니다. 하지만 기업 네트워크에는 영향을 미쳐 일부 시스템 장애가 있었습니다. 평균 가격 이 랜섬웨어 패밀리는 PwndLocker로 시작되었지만 지난 3월 파일을 무료로 복호화할 수 있었던 취약점를 수정한 후 ProLocker로 리브랜딩 되었습니다. BleepingCo..

국내외 보안동향 2020. 5. 15. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 정부 후원을 받는 것으로 추정되는 APT공격 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 APT 공격 뿐만 아니라 최근에는 지속적으로 해외 방위 산업체를 타깃으로 공격을 지속 중입니다. ※ 관련글 보기 ▶ 코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보 (20.04.28) 지난 5월초에도 해외 방위 산업체를 타깃으로 하는 APT공격이 포착된 바 있고, 금일(5/15)도 역시 새로운 APT 공격용 악성문서 파일이 확인되었습니다. 금일 새롭게 발견된 파일은 ‘LM_IFG_536R.docx’, ‘BAE_JD_2020.docx’ ‘Boeing_AERO_GS.docx’ 들로 이 3개의 신규 악성 문서..

악성코드 분석 리포트 2020. 5. 15. 10:44

New COMpfun malware variant gets commands from HTTP error codes 새로운 COMpfun 원격 액세스 트로이목마(RAT) 변종이 흔하지 않은 HTTP 상태 코드를 통해 제어되는 것으로 나타났습니다. 이 악성코드는 유럽의 외교 기관을 노린 공격에 사용되었습니다. 이 악성코드는 G-Data에서 2014년 처음 발견 및 분석하였습니다. 2019년에는 카스퍼스키가 암호화된 트래픽에 중간자 공격이 가능하며 코드가 매우 유사한 또 다른 트로이목마를 발견해 Reductor라 명명했습니다. 카스퍼스키는 이 악성코드가 Turla APT와 관련이 있을 가능성이 있다고 밝혔습니다. 업그레이드된 원격 접속 트로이목마 2019년 11월 카스퍼스키에서 발견한 새로운 COMpfun 악..

국내외 보안동향 2020. 5. 15. 09:59

PrintDemon vulnerability impacts all Windows versions 두 명의 보안 연구원(Alex Ionescu & Yarden Shafir)이 1996년에 공개된 Windows NT 4 버전 이후의 모든 윈도우 버전에 영향을 미치는 Windows 프린팅 서비스 취약점(CVE-2020-1048)에 관한 세부 정보를 공개했습니다. 코드명이 PrintDemon인 해당 취약점은 인쇄 작업 관리를 담당하는 주요 Windows 구성 요소인 Windows Print Spooler에 존재합니다. 해당 서비스는 프린트할 데이터를 물리적으로 연결된 프린터를 위한 USB/병렬 포트로 전송합니다. 로컬 네트워크 또는 인터넷 상의 프린터용 TCP 포트 또는 사용자가 추후 인쇄 작업을 저장할 이벤트..

국내외 보안동향 2020. 5. 14. 16:00