DoppelPaymer Ransomware Used to Steal Data from Supplier to SpaceX, Tesla 록히드 마틴, SpaceX, 보잉과 같은 우주 항공 업체에 맞춤형 부품을 납품하는 회사가 파일을 암호화하고 데이터를 유출하는 랜섬웨어의 타깃이 된 것으로 나타났습니다. 콜로라도에 위치한 기업인 Visser Precision은 공격자가 회사의 데이터에 접근해 이를 탈취했다고 밝혔습니다. 한 보안 연구원은 유출된 회사의 파일 중 일부를 온라인에서 발견했습니다. Visser는 자동차 및 항공 산업을 포함한 여러 업계에서 사용하는 정밀 부품을 생산합니다. 이 회사의 고객들은 업무 특성상 매우 높은 보안 수준이 요구됩니다. Emsisoft의 위협 분석가인 Brett Callow는 해..

국내외 보안동향 2020. 3. 4. 16:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43

Nemty Ransomware Punishes Victims by Posting Their Stolen Data Nemty 랜섬웨어가 훔친 데이터를 게시하는 사이트를 만들었습니다. 랜섬웨어 운영자들은 2019년부터 피해자가 돈을 지불하지 않을 경우 훔친 데이터를 공개적으로 게시하는 전략을 사용하기 시작했습니다. 공격자가 회사의 재무 정보, 직원의 개인 정보, 고객 데이터를 훔쳐 게시할 경우, 이는 단순한 랜섬웨어 공격이 아닌 데이터 유출로 이어집니다. Maze 랜섬웨어가 훔친 파일을 게시하자, DoppelPaymer와 Sodinokibi 등 다른 랜섬웨어 패밀리들 또한 피해자를 협박하기 위한 유출 사이트를 개설했습니다. 이제 Nemty 랜섬웨어 또한 피해자가 돈을 지불하지 않을 경우 기기를 암호화하기 전..

국내외 보안동향 2020. 3. 4. 08:33

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 코로나 19 바이러스 감염증 확진자 수치가 계속 증가하고 있고, 대중들의 관심과 공포가 집중되고 있는 상황에서 코로나(Corona) 바이러스 이슈를 노리고 'Corona Ransomware'(이하 코로나 랜섬웨어) 라는 명칭을 사용하는 랜섬웨어가 등장하여 주의가 필요합니다. 해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019년 11월 경에 유포된 바 있는 Hakbit 랜섬웨어의 변종으로 추정됩니다. 실제로 이번에 발견된 코로나 랜섬웨어는 Hakbit 랜섬웨어와 동작방식에서 여러모로 유사한 부분이 확인됩니다. 또한 랜섬노트의 경우, 이번 코로나 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯하여 요구하는 금액과 안내하는 비트코인 지불 사이트, 랜섬노..

악성코드 분석 리포트 2020. 3. 4. 07:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 유포중이던 Sodinokibi 랜섬웨어에 특이점이 발견되었습니다. 기존 Sodinokibi 랜섬웨어와 비교하면 이번에 확인된 Sodinokibi 역시 대동소이합니다. 일단 해당 Sodinokibi에 감염되면, 사용자PC에 저장된 특정 확장자 파일을 암호화하고 파일 확장자명을 기존 파일명 뒤에 일괄적으로 x35g0t03으로 붙여서 변경합니다. 또한 'Your files are encrypted !!!'라는 메시지를 포함한 푸른색 노이즈 이미지를 바탕화면으로 설정하는 동시에 x35g0t03-README-PLEASE라는 랜섬노트 파일을 띄웁니다. [그림 1] Sodinokibi에 감염되어 바탕화면 변경 및 랜섬노트 실행된 PC 화면 ※ 소디노키비(Sodin..

악성코드 분석 리포트 2020. 3. 3. 17:26

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 지난 02월 26일, '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 악성 DOC MS-Word 문서가 첨부된 스피어 피싱(Spear Phishing) 공격이 포착되었고, 당시 이 공격은 '스모크 스크린(Smoke Screen)' APT(지능형지속위협) 캠페인의 일환으로 분석한 바 있습니다. 한편 2020년 03월 03일, 새로운 공격이 발견되었는데, '비건 미국무부 부장관 서신 20200302.doc' 파일명이 사용되었습니다. ESRC는 해당 악성 문서 파일을 분석한 결과 기존 '스모크 스크린'과 동일한 APT 공격으로 조사를 완료했습니다. 스모크 스크린 사이버 위협에 적용된 전략, 기술, 절차(TTPs:Tactics, Te..

악성코드 분석 리포트 2020. 3. 3. 17:22

FasterXML jackson-databind란 JSON과 오브젝트 변환에 사용되는 Java 라이브러리로, Java 오브젝트를 json과 xml형태로 변환하며, 동시에 json 오브젝트를 Java 오브젝트로 변환하기도 합니다. 취약점 내용 CVE-2020-9546org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. CVE-2020-9547com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. CVE-2020-9548br.com.anteros.dbcp.Ante..

국내외 보안동향 2020. 3. 3. 16:42

US Drugstore Giant Walgreens Leaked Users' Sensitive Info 미국의 대규모 약국 체인인 Walgreens가 지난 주말 버그로 인해 모바일 앱 사용자 중 일부가 다른 사용자의 민감 정보에 접근할 수 있었다고 밝혔습니다. Walgreens는 CVS Health 다음으로 미국에서 두 번째로 큰 약국 체인으로 50개 주에서 약국 9,277곳을 운영하며 230,000명의 직원을 고용하고 있습니다. PII와 PHI, 실수로 유출 돼 회사가 이 사고에 영향을 받은 고객들에게 보낸 데이터 유출 사고 통지 이메일에 따르면, 데이터 유출 사고는 Walgreens 모바일 앱 내 보안 메시지가 무단으로 공개되어 발생한 것으로 나타났습니다. 이 버그로 인해 2020년 1월 9일부터 1..

국내외 보안동향 2020. 3. 3. 15:15