취약점 내용 이번에 공개된 2개의 제로데이 취약점은 Windows Adobe Type ManagerLibrary에 존재합니다. Adobe Type ManagerLibrary가 특수하게 제작된 멀티 마스터폰트(Adobe Type1 PostScript 타입)을 부적절하게 처리하여 발생하는 것으로, 해당 취약점을 악용하면 공격자가 원격에서 사용자에게 특수하게 제작된 문서나 윈도우의 미리보기 창에서 확인을 하도록 유도하여 타깃 시스템에 임의의 악성코드를 실행할 수 있습니다. 현재까지 특수하게 조작된 악의적인 OTF 폰트가 포함된 웹페이지에서 취약점이 트리거 되는지는 아직 밝혀지지 않았습니다. 영향받는 버전 모든 Windows 버전 (Windows 7, Windows8.1, Windows 10, WindowsSe..

국내외 보안동향 2020. 3. 25. 09:29

Hacker selling data of 538 million Weibo users 중국의 소셜 네트워크인 웨이보의 개인 정보 5.38억건 이상이 온라인에 판매되고 있는 것으로 나타났습니다.해커는 다크웹을 포함한 여러 곳에서 2019년 중반 웨이보를 해킹했으며, 회사의 유저 데이터베이스 덤프를 얻어냈다고 주장했습니다. 그는 이 데이터베이스에 웨이보 사용자 5.38억명의 정보가 포함되어 있다고 말하며 사용자의 이름, 성별, 위치가 포함되어 있으며 이 중 1.72억 사용자는 전화번호까지 저장되어 있다고 밝혔습니다. 하지만 패스워드는 포함되어 있지 않아 해커는 이 정보를 1,799위안(약 32만원)에 판매한다고 설명했습니다. 웨이보의 대변인은 ZDNet의 코멘트 요청에 응답하지 않았습니다. 하지만 이 문제와 ..

국내외 보안동향 2020. 3. 24. 14:30

Microsoft warns of Windows zero-day exploited in the wild 마이크로소프트가 보안 경고를 통해 해커들이 시스템 탈취를 위해 윈도우 OS의 제로데이 취약점을 악용하고 있다고 밝혔습니다. 이 제로데이는 마이크로소프트가 윈도우 내 PostScript Type 1 폰트를 렌더링하는데 사용하는 라이브러리인 Adobe Type Manager Library (atmfd.dll)에 존재합니다. 마이크로소프트는 이 빌트인 라이브러리에 원격 코드 실행 취약점(RCE) 2개가 존재한다고 밝혔습니다. 공격자가 이를 악용할 경우 사용자의 시스템에서 코드를 실행하고 사용자를 대신하여 행동할 수 있게 됩니다. 마이크로소프트의 보안 권고에 따르면, 현재 지원되는 모든 윈도우 및 윈도우 서버..

국내외 보안동향 2020. 3. 24. 08:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 7번째 변종으로 확인되었습니다. ※ 관련글보기 ▶ 이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020.03.02)▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (20.01.21)▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (19.12.04) 【오..

악성코드 분석 리포트 2020. 3. 23. 17:03

CERT France – Pysa ransomware is targeting local governments 프랑스 CERT가 지방 정부를 노리는 새로운 랜섬웨어 공격에 대해 경고했습니다. 이 캠페인 운영자들은 Mespinoza 랜섬웨어의 새로운 버전인 Pysa 랜섬웨어를 배포하고 있는 것으로 나타났습니다. “ANSSI는 최근 프랑스의 지방 정부를 특히 노리는 컴퓨터 공격에 대한 제보를 받았습니다. 이 공격에는 랜섬웨어형 악성코드가 사용되었으며, 특정 파일을 사용할 수 없는 상태로 만들었습니다. 이 공격의 근원지가 어디인지는 밝혀지지 않았으며 현재 조사를 진행 중인 상태입니다.” 전문가에 따르면, 첫 번째 감염은 2019년 발견되었으며 피해자들은 악성코드로 인해 파일이 암호화 되었다고 신고했습니다. 이 ..

국내외 보안동향 2020. 3. 23. 13:47

안녕하세요. ESRC입니다. 코로나 19 바이러스 이슈로 인해, 많은 기업이 임직원들에 대한 보호와 예방 차원에서 재택근무를 진행하고 있습니다. 재택근무 형태를 2020년 2월 말 경부터 조기에 도입한 기업들은 벌써 기간 연장을 거듭하여 한 달째에 이르고 있는 상황입니다. 이런 재택근무 시기에도 외부 위협은 계속되고 있습니다. 공격자들은 사용자들이 최근 가장 관심을 가질만한 코로나 19 바이러스 관련 정보를 포함하여 송장, 관리시스템의 장애 확인, 임직원 계정 확인 등의 다양한 주제를 활용하여 공격을 시도하고 있습니다. ESRC에서는 보안관리자 입장에서 이러한 공격에 효과적으로 대응하기 위한 체크리스트를 몇가지 알려드리오니 업무에 도움이 되길 바랍니다. 1. 재택근무를 위해 활용하는 엔드포인트 장비/관련..

전문가 기고 2020. 3. 23. 11:21

Netwalker Ransomware Infecting Users via Coronavirus Phishing 공격자들이 랜섬웨어 설치를 위해 코로나 바이러스(COVID-19) 피싱 이메일을 사용하고 있는 것으로 나타났습니다. 실제 이메일은 찾을 수 없었지만, MalwareHunterTeam은 코로나 바이러스 피싱 캠페인에 사용된 첨부파일을 찾을 수 있었습니다. 이 첨부파일은 Netwalker 랜섬웨어를 설치했습니다. Netwalker는 Mailto로도 불렸던 랜섬웨어 패밀리로 최근 기업과 정부 기관을 노리는 공격을 실행했습니다. 최근 공격 중 두드러지는 2건은 Toll 그룹과 일리노이주의 CHUPD(Champaign Urbana Public Health District)에 대한 공격입니다. NEtwal..

국내외 보안동향 2020. 3. 23. 08:32

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 코로나 바이러스 이슈를 악용한 김수키(Kimsuky) 조직의 APT 공격이 또 한번 포착되었습니다. 김수키(Kimsuky) 조직은 2월 28일, 이미 '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 스피어피싱 공격을 진행한 적이 있습니다. 이번에 발견된 악성 파일은 'COVID-19 and North Korea.docx' 파일명으로 유포되었으며, TTPs 등을 분석한 결과, 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정하고 있습니다. ※ 스모크 스크린 캠페인 관련글 ▶ 김수키(Kimsuky)조직, 비건 미국무부 부장관 서신 내용으로 ..

악성코드 분석 리포트 2020. 3. 21. 09:00