안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 현재 코로나 19 바이러스(COVID-19) 전염병은 전세계적으로 확산 추세이며, 3/30 현재(글 작성 시점)까지 약 200여개국에서 확진자 약 70만명 / 사망자 약 3만3천여명을 기록하고 있어 WHO(World Health Organization)에서는 팬데믹 선언을 하기까지 이르렀습니다. 전세계적으로 이러한 신종 코로나 바이러스가 확산되면서 이 '코로나' 키워드를 활용한 사이버 공격 건수도 함께 급증하고 있습니다. ESRC에서 2020년 2월 초부터 3월 말까지 약 2달간 '코로나' 키워드로 수집/등록한 DB만 해도 약 400여 건에 이르며 그중 Top15 악성코드를 꼽아보면 다음과 같습니다. [그림 1] 코로나 키워드를 활용해 유포된 ..

전문가 기고 2020. 3. 31. 23:10

Zeus Sphinx malware resurrects to abuse COVID-19 fears Zeus Sphinx가 수 년간의 휴식 끝에 부활해 코로나바이러스 팬데믹 이슈를 악용하는 것으로 나타났습니다. 전세계 총 76만명 이상이 감염된 코로나바이러스로 인해 새로운 코로나바이러스 치료법에 대한 비밀을 가지고 있다고 주장하는 스팸 메일, 공익 기업 또는 은행인 척 하며 확진자가 발생했다고 주장하는 사기 문자/전화, 코로나를 예방한다는 가짜 상품이 등록된 온라인 마켓 등이 성행하고 있습니다. 많은 사이버 공격자와 사기꾼이 이 문제를 악용할 공격 기회를 노리고 있으며, 3년 가까이 활동이 없었던 악성 코드 또한 부활했습니다. 지난 월요일, 지난 3월 실행된 정부의 재난 구호금 관련 주제를 사용하는 캠페인..

국내외 보안동향 2020. 3. 31. 15:48

D-Link and Linksys routers hacked to point users to coronavirus-themed malware 해커들이 사용자들을 악성코드를 유포하는 코로나 바이러스 관련 사이트로 이동시키기 위해 거의 한 주 동안 라우터에 침투하여 DNS 설정을 바꿔온 것으로 확인되었습니다. BitDefender와 기술 지원 포럼 BleepingComputer는 이 공격이 현재 D-Link와 Linksys 라우터를 노리고 있다고 밝혔습니다. 비트디펜더에 따르면 해커는 타깃 라우터의 관리자 패스워드를 알아내기 위해 브루트포싱 공격을 실행 중인 것으로 나타났습니다. 이들이 패스워드를 알아내어 입장 하면, 해커는 라우터의 디폴트 DNS 서버 설정을 변경하여 그들의 서버를 향하도록 지정합니다. 즉..

국내외 보안동향 2020. 3. 31. 14:08

Windows 10 Patch KB4535996 Brings Serious Network Problems Microsoft Finally Gets To Solve 2월, MS가 배포한 Windows10의 KB4535996 패치 후, 부팅실패, 블루스크린, 성능저하 등 여러 문제점이 발생하였습니다. ▶ 관련 내용 참고 또한 KB453599는 Windows10의 네트워크 연결 문제, 특히 VPN을 사용할 시 Office 프로그램(예를들어 Microsoft Teams，Microsoft Office，Microsoft Office 365，Microsoft Outlook)에 영향을 미칩니다. 3월 30일, MS는 KB4535996 업데이트가 야기하는 네트워크 문제점을 해결하는 새로운 패치를 내놓았습니다. MS는 "..

국내외 보안동향 2020. 3. 31. 11:07

Source code of Dharma ransomware now surfacing on public hacking forums 악명높은 Dharma 랜섬웨어의 소스코드가 러시아어 해킹 포럼 2 곳에서 판매를 시작했습니다. Dharma 랜섬웨어는 지난 2016년 2월 처음 등장했으며, 전문가들은 Crysis라 명명했습니다. Crysis 랜섬웨어는 ESET에서 처음 발견했으며 주로 러시아, 일본, 남한, 북한, 브라질의 시스템을 감염시켰습니다. 당시 공격자는 이중 확장자를 사용하는 이메일 첨부파일이나 악성 링크를 통해 이 랜섬웨어를 배포했습니다.2016년 11월, Crysis의 마스터 암호화 키가 온라인에 공개되었으며 Crysis 버전 2,3에 피해를 입은 사람들은 파일을 복호화 할 수 있었습니다. Cry..

국내외 보안동향 2020. 3. 31. 09:04

안녕하세요? 이스트시큐리티 ESRC입니다. 최근 크게 이슈가 되고 있는 'n번방 사건' 관련 스미싱(Smishing) 공격이 확인되어 사용자들의 각별한 주의가 필요합니다. 'n번방 사건'은 2018년 하반기부터 2020년 3월까지 텔레그램 및 기타 메신저 앱을 이용해 벌어진 대규모 디지털 성범죄/성착취 사건이며, 피해자 중 미성년자가 대거 포함되어 있어 더욱 더 큰 충격을 주고 있는 희대의 범죄 사건입니다. 관련기사 : http://news.zum.com/articles/59100653 공격자들은 이러한 희대의 범죄 사건에 쏠리는 사람들의 관심을 이용하여 스미싱 공격에 활용하고 있습니다. 3/29 오후부터 유포되기 시작한 스미싱 내용은 다음과 같습니다. TTN（속보）N번방 전체회원 신상공개 https:/..

악성코드 분석 리포트 2020. 3. 30. 19:35

'오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 03월 초, 일명 '금성121(Geumseong121)'로 명명된 국가차원의 APT(지능형지속위협) 그룹의 새로운 공격 정황이 포착되었습니다. 이들은 대한민국 사이버 공간을 주요 거점지로 삼아 다양한 스파이 활동을 수행하고 있으며, 주로 외교·통일·안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화하고 있습니다. ESRC에서는 알약(ALYac) 포함 다채널 위협 인텔리전스 센서를 통해 수집된 각종지표와 증거를 기반으로 이번 침해공격 실체를 분석하였습니다. 작년 11월 '금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 A..

악성코드 분석 리포트 2020. 3. 30. 16:33

Hackers Exploit Zero-Day Bugs in Draytek Devices to Target Enterprise Networks Netlab 보고서에 따르면, 최소 2개 이상의 해커그룹이 DrayTek의 두 개의 제로데이 원격 명령 인젝션 취약점(CVE-2020-8515)을 악용중이라고 밝혔습니다. 해당 취약점은 DrayTek Vigor 엔터프라이즈 스위치, 로드밸런서, 라우터 및 VPN 게이트웨이에 존재하며, 공격자는 해당 취약점을 악용하여 트래픽을 스니핑 할 수 있으며 백도어를 설치할 수 있습니다. 제로데이 공격은 작년 11월 말에서 12월 초 처음 시작되었으며, 수 천대의 최신 펌웨어가 설치되어 있지 않은 DrayTek 스위치, Vigor 2960, 3900, 300B 디바이스 등이 영..

국내외 보안동향 2020. 3. 30. 15:37