Ransomware now demands extra payment to delete stolen files 한 랜섬웨어 패밀리가 복호화 툴 값뿐만 아니라 공격 도중 훔친 파일을 공개하지 않고 삭제하기 위한 두 번째 랜섬머니를 요구하기 시작했습니다. 지난 수년 동안, 랜섬웨어 운영자들은 회사 네트워크를 암호화하기 전 데이터를 훔쳤다고 주장하며 랜섬머니를 지불하지 않을 경우 데이터를 공개하겠다고 협박해 왔습니다. 지난 2019년 11월 Maze 랜섬웨어 운영자는 실제로 훔친 파일을 공개했습니다. 그 이후로 Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Netwalker와 같은 거의 모든 랜섬웨어 패밀리에서 이 정책을 도입하였습니다. ..

국내외 보안동향 2020. 5. 14. 14:30

New Ramsay malware can steal sensitive documents from air-gapped networks ESET의 연구원들이 이전에는 찾아볼 수 없었던 매우 드문 고급 기능을 갖추고 있는 악성 프레임워크를 발견했다고 발표했습니다. Ramsay라 명명된 이 악성 툴킷은 에어갭 컴퓨터를 감염시켜 워드 문서와 기타 민감 문서를 숨겨진 스토리지 컨테이너에 저장해 두었다가 유출이 가능한 기회를 기다리도록 설계되었습니다. 이 악성코드의 발견은 꽤 중요한 일입니다. 조직에서 취할 수 있는 가장 엄격하고 효율적인 보안 정책인 ‘에어갭’을 뛰어넘는 기능이 포함된 악성코드는 거의 찾아볼 수 없기 때문입니다. 에어갭(air-gap) 네트워크란? 에어갭 시스템은 회사 네트워크를 물리적, 논리적으로..

국내외 보안동향 2020. 5. 14. 10:38

Android app promised to serve news updates, served ESET with a DDoS attack instead ESET이 구글 플레이스토어에서 호스팅된 악성 뉴스 앱에서 실행된 DDoS 공격을 차단한 것으로 나타났습니다. “Updates for Android”라는 앱은 평점 4.3을 기록하고 많은 좋은 리뷰를 받았지만, DDoS 공격을 실행하기 위하여 은밀히 봇을 생성하고 있었습니다. 이 앱은 2019년 9월 9일 처음 구글 플레이에 등록되었으며, 최대 5만 건의 설치를 기록하며 인기가 치솟았습니다. “Update for Android”는 뉴스 피드를 제공하는 정식 소프트웨어 앱으로 위장해 운영해 왔으며 최근에는 악성 목적으로 사용할 수 있는 기능만을 업데이트한 것으..

국내외 보안동향 2020. 5. 13. 14:00

Over 4000 Android Apps Expose Users' Data via Misconfigured Firebase Databases 구글의 클라우드 호스팅 Firebase 데이터베이스를 사용하는 안드로이드 앱 4천 개 이상에서 의도치 않게 사용자의 민감 정보를 유출하고 있는 것으로 나타났습니다. 유출된 정보는 이메일 주소, 계정명, 패스워드, 전화번호, 성명, 채팅 메시지, 위치 정보 등입니다. Security Discovery의 Bob Diachenko가 Comparitech의 파트너십을 통한 조사를 실시하여 구글 플레이스토어에 등록된 모든 앱의 약 18%인 안드로이드 앱 15,735개를 분석했습니다. 구글 Firebase를 사용하여 데이터를 저장하는 모바일 앱의 4.8%가 제대로 보호되고 있..

국내외 보안동향 2020. 5. 13. 09:52

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 도메인을 사용하여 사내 계정을 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “✉ Your *******@*******.com mailbox usage is 85% full”이라는 제목으로 관리자 계정을 타깃하여 발송되었습니다. 메일에는 사용자의 이메일 스토리지 용량이 부족하다고 경고하며, 계속 해당 이메일을 사용하려면 로그인하여 스토리지를 업그레이드하라고 본문의 URL을 클릭하도록 유도합니다. [그림 1] 관리자 계정으로 전달된 피싱 공격 이메일 피싱 메일을 받은 사용자가 부족한 스토리지 용량을 늘리기 위해 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피..

악성코드 분석 리포트 2020. 5. 13. 07:30

Data leak, phishing security flaws disclosed in Oracle iPlanet Web Server Oracle iPlanet 웹 서버에 영향을 미치는 일부 취약점 정보가 공개되었습니다. CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있습니다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었습니다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할..

국내외 보안동향 2020. 5. 12. 16:30

An Undisclosed Critical Vulnerability Affect vBulletin Forums — Patch Now vBulletin 소프트웨어를 사용 중일 경우 새로 공개된 보안 패치를 설치해 치명적인 취약점을 패치하시기 바랍니다. vBulletin 프로젝트의 관리자는 최근 중요한 패치 업데이트를 공개했지만 이와 관련한 어떤 정보도 공개하지 않았습니다. 이 취약점은 CVE-2020-12720로 등록되었습니다. PHP 프로그래밍 언어로 작성된 vBulletin은 많은 인터넷 포럼과 포춘(Fortune), 대기업 사이트 등을 포함한 인터넷상의 웹사이트 10만 곳 이상에서 사용됩니다. 이 인기 있는 포럼 소프트웨어는 항상 해커의 좋은 타깃이 되어왔습니다. 취약점에 대한 세부 정보를 아직까지 ..

국내외 보안동향 2020. 5. 12. 14:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 코로나19 위기 극복을 위한 정부 지원인 긴급재난지원금 신청이 지난 5월 11일부터 시작되며 많은 관심이 집중되고 있는 가운데, ‘긴급재난지원금 조회 및 안내’를 사칭한 스미싱 공격이 등장했습니다. [그림 1] 정부 긴급재난지원금 사이트로 위장된 피싱 사이트 ESRC에서는 12일 정부 긴급재난지원금 신청 이슈를 노린 스미싱 공격을 확인했습니다. 발견된 스미싱은 11일 오후부터 다수 유포되었으며, 문자 메시지 내용은 스미싱 공격자가 주로 사용하던 택배 사칭 메시지가 그대로 재활용되었습니다. 스미싱 문자에는 ‘주소가 불분명하여 배달이 불가능하다’는 택배 사칭 내용이 적혀있으며, 문자에 첨부된 인터넷 주소(URL)를 클릭하면 공격자가 미리 제작해둔 가..

악성코드 분석 리포트 2020. 5. 12. 13:42