Hackers are scanning for vulnerable VPNs in order to launch attacks against remote workers 사이버 범죄 그룹과 정부의 지원을 받는 해킹 작전이 코로나바이러스 팬데믹 상황을 악용하려 시도하고 있습니다. 이를 악용한 사이버 공격 시도가 점점 증가하고 있는 것으로 나타났습니다. 영국의 국립 사이버 보안 센터 (NCSC)와 미 국토안보부 (DHS), 사이버보안 및 인프라 보안국(CISA)에서 공동으로 권고를 발표해 개인 및 조직을 노리는 코로나바이러스를 주제로 한 사기, 피싱 공격, 악성코드 작전, 랜섬웨어 캠페인에 대해 경고했습니다. 사이버 공격자와 사기꾼들은 코로나바이러스 발생 직후부터 피해자를 속이는데 이를 악용해 왔으며 점점 과격해지..

국내외 보안동향 2020. 4. 9. 10:13

Email provider got hacked, data of 600,000 users now sold on the dark web Email.it 유저 60만 명 이상의 데이터가 다크웹에 판매되고 있는 것으로 나타났습니다. 이탈리아의 이메일 서비스 업체인 Email.it는 ZDNet 측에 보낸 성명서를 통해 “해커의 공격을 받았다”고 확인했습니다. 협박 시도 실패해 Email.it 해킹 사건은 지난 일요일 해커가 트위터에 회사의 정보를 판매하고 있던 다크웹 상의 한 웹사이트를 홍보하면서 발견되었습니다. ‘NN(No Name) 해킹 그룹’이라는 이름을 사용하는 이 해커는 실제 침입 날짜가 2년 전인 2018년 1월이라고 주장했습니다. 이들은 웹사이트를 통해 아래와 같이 주장했습니다: 2년 전 Email...

국내외 보안동향 2020. 4. 8. 16:15

안녕하세요. ESRC입니다. 코로나19(Covid-19) 바이러스 키워드를 활용하여 작성된 악성 이메일들이 국내로 지속적으로 유입되고 있습니다. 4월 초에도 인천광역시 감염병 관리지원단을 사칭하여 한글로 작성된 이메일이 유포되었으며, 코로나 19 바이러스가 워낙 글로벌한 이슈이다보니 영문으로 작성된 코로나 19 바이러스 관련 이메일들은 매우 자주 발견되고 있는 상황입니다. ※ 관련 글 보기 ▶ '인천광역시 코로나바이러스 대응' 제목으로 유포중인 악성 메일 주의! (20.04.07) ▶ 김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의! (20.03.21) ▶ 한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의! (20.03.1..

악성코드 분석 리포트 2020. 4. 8. 14:22

Unveiled: How xHelper Android Malware Re-Installs Even After Factory Reset xHelper를 기억하시나요? 사용자가 삭제하거나 기기를 공장 초기화할 경우에도 자신을 스스로 재설치하여 제거가 사실상 불가능한 미스터리한 안드로이드 악성코드입니다. xHelper는 지난 해 45,000대 이상의 기기를 감염시킨 것으로 알려졌으며, 그 이후 사이버 보안 연구원들은 어떻게 이 악성코드가 공장 초기화에서도 살아남을 수 있는지, 어떻게 그 많은 기기를 감염시켰는지 밝혀내기 위한 연구를 진행해 왔습니다. 카스퍼스키의 악성코드 분석가인 Igor Golovin이 공개한 보고서에 따르면, 이 악성코드가 사용하는 지속성 메커니즘에 대한 기술적 세부 사항이 마침내 밝혀져 ..

국내외 보안동향 2020. 4. 8. 13:34

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 경찰청 사칭 악성 메일 이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. [그림 2] 악성 메일에 포함된 첨부파일 문서.exe 파일 분석 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. ..

악성코드 분석 리포트 2020. 4. 8. 09:44

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19가 여전히 기승을 부리고 있는 요즘, '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일이 유포되어 사용자들의 각별한 주의가 필요합니다. 관련 내용은 이미 4월 1일, 이스트시큐리티에서 보도자료를 통해 주의를 당부한 적이 있습니다. (▶ 관련기사) [그림 1] '인천시 코로나 바이러스 대응' 제목의 악성 메일 이번에 발견된 이메일은 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있습니다. 또한 해당 메일은 개인 이메일로 수신되었으며, 수신자의 이름이 포함되어 있어 유출된 개인정보를 악용한 APT 공격으로 추측하고 있습니다. 악성 메일에는 ‘_인천광역..

악성코드 분석 리포트 2020. 4. 7. 15:47

Interpol: Ransomware attacks on hospitals are increasing 인터폴이 현재 코로나바이러스가 성행함에도 불구하고 랜섬웨어를 이용해 병원을 공격하고 있다고 경고했습니다. 다양한 랜섬웨어 변종 운영자들은 지난 달 BleepingComputer 측에 코로나바이러스 팬데믹으로 인해 건강 및 의료 관련 조직은 공격하지 않을 것이라 밝혔지만, 놀라운 일은 아닙니다. Maze 랜섬웨어는 의료 시설을 공격하지 않겠다고 선언하기 전 약품을 검사하는 회사로부터 훔친 데이터를 공개했으며, Ryuk은 병원이 매일 새로운 코로나바이러스 환자로 북새통을 이루는 와중에도 지속적으로 의료 기관을 공격했습니다. 러시아어를 구사하는 공격자들 또한 유럽의 제약 및 제조 회사 2곳에 랜섬웨어 공격을 ..

국내외 보안동향 2020. 4. 7. 14:26

안녕하세요. ESRC(시큐리티 대응센터)입니다. 일반적인 기업들의 상여금 발급 시즌을 맞이하여 '직원활동상여금발급청구서_1.doc' 파일명으로 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 문서에는 악성 매크로가 포함되어 있으며, 워드 파일 내용에 [콘텐츠 사용]을 활성화 하라는 문구로 사용자들에게 매크로 기능 활성을 유도합니다. [그림 1] 악성 매크로가 포함된 워드파일 특이한 점은, 악성 매크로가 포함된 워드문서의 코드페이지 식별자가 중국어(936)로 설정되어 있다는 점 입니다. [그림 2] 코드페이지 설정 화면 만약 사용자가 [콘텐츠 사용]을 눌러 매크로 기능을 활성시킨다면, 워드문서에 포함되어 있던 악성 VBA매크로가 실행되게 됩니다. 이렇게 실행된 악성 VBA매크로는 미리 설정된 ..

악성코드 분석 리포트 2020. 4. 7. 14:26