TrickBot Bypasses Online Banking 2FA Protection via Mobile App TrickBot 그룹이 거래 인증 번호를 훔친 후 이중 인증(2FA)를 우회하기 위해 개발한 악성 안드로이드 애플리케이션을 사용하는 것으로 나타났습니다. IBM X-Force 연구원들은 이 안드로이드 앱을 TrickMo라 명명했습니다. 이 앱은 활발히 업데이트 되고 있으며, 온라인 뱅킹 세션 내 웹 인젝션을 통해 독일 피해자들의 감염된 데스크탑을 통해 푸시되고 있습니다. TrickBot 운영자들은 TrickMo가 피해자의 안드로이드 기기에 설치된 후 OTP, 모바일 TAN, pushTAN 인증 코드 등 광범위한 거래 인증 번호(TAN)에 인터셉트 하도록 설계했습니다. 2019년 9월 처음 발견..

국내외 보안동향 2020. 3. 26. 09:32

Fake “Corona Antivirus” distributes BlackNET remote administration tool 악성코드 제작자들이 본격적으로 코로나바이러스 이슈를 악용하고 있습니다. 사용자가 다양한 악성코드를 설치하도록 유도하기 위해 코로나19 이슈를 악용한 많은 스팸 캠페인이 발견되고 있으며, 그 중 데이터 탈취 악성코드가 많이 발견되고 있습니다. 또한 코로나바이러스로 인해 재택근무자들이 늘어나면서, 집에서 회사 네트워크에 연결하는 경우도 많아지고 있습니다. 이에 컴퓨터 보안이 점점 더 중요해지고 있습니다. 하지만 만약 보안 프로그램이 코로나 바이러스 이슈에 대해 언급하는 경우, 가짜 보안 프로그램일 가능성이 높아 각별한 주의가 필요합니다. 코로나 안티바이러스: 100% 가짜 프로그램..

국내외 보안동향 2020. 3. 25. 14:33

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내 유명 카드사 계정을 노린 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 국내 카드사 계정으로 수신 된 메일로 스토리지 공간이 부족하다는 메시지와 함께 저장 용량을 늘리기 위해 로그인을 유도하는 방식으로 사용되고 있습니다. [그림 1] 국내 카드사 계정으로 수신 된 이메일 화면 계정 피싱 메일을 받은 사용자가 저장 용량을 늘리기 위해 메일 본문에 링크 된 주소를 클릭 할 경우 사용자의 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 피싱 타깃이 된 사용자가 해당 페이지에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다. 전송된 개인 정보..

악성코드 분석 리포트 2020. 3. 25. 11:15

취약점 내용 이번에 공개된 2개의 제로데이 취약점은 Windows Adobe Type ManagerLibrary에 존재합니다. Adobe Type ManagerLibrary가 특수하게 제작된 멀티 마스터폰트(Adobe Type1 PostScript 타입)을 부적절하게 처리하여 발생하는 것으로, 해당 취약점을 악용하면 공격자가 원격에서 사용자에게 특수하게 제작된 문서나 윈도우의 미리보기 창에서 확인을 하도록 유도하여 타깃 시스템에 임의의 악성코드를 실행할 수 있습니다. 현재까지 특수하게 조작된 악의적인 OTF 폰트가 포함된 웹페이지에서 취약점이 트리거 되는지는 아직 밝혀지지 않았습니다. 영향받는 버전 모든 Windows 버전 (Windows 7, Windows8.1, Windows 10, WindowsSe..

국내외 보안동향 2020. 3. 25. 09:29

Hacker selling data of 538 million Weibo users 중국의 소셜 네트워크인 웨이보의 개인 정보 5.38억건 이상이 온라인에 판매되고 있는 것으로 나타났습니다.해커는 다크웹을 포함한 여러 곳에서 2019년 중반 웨이보를 해킹했으며, 회사의 유저 데이터베이스 덤프를 얻어냈다고 주장했습니다. 그는 이 데이터베이스에 웨이보 사용자 5.38억명의 정보가 포함되어 있다고 말하며 사용자의 이름, 성별, 위치가 포함되어 있으며 이 중 1.72억 사용자는 전화번호까지 저장되어 있다고 밝혔습니다. 하지만 패스워드는 포함되어 있지 않아 해커는 이 정보를 1,799위안(약 32만원)에 판매한다고 설명했습니다. 웨이보의 대변인은 ZDNet의 코멘트 요청에 응답하지 않았습니다. 하지만 이 문제와 ..

국내외 보안동향 2020. 3. 24. 14:30

Microsoft warns of Windows zero-day exploited in the wild 마이크로소프트가 보안 경고를 통해 해커들이 시스템 탈취를 위해 윈도우 OS의 제로데이 취약점을 악용하고 있다고 밝혔습니다. 이 제로데이는 마이크로소프트가 윈도우 내 PostScript Type 1 폰트를 렌더링하는데 사용하는 라이브러리인 Adobe Type Manager Library (atmfd.dll)에 존재합니다. 마이크로소프트는 이 빌트인 라이브러리에 원격 코드 실행 취약점(RCE) 2개가 존재한다고 밝혔습니다. 공격자가 이를 악용할 경우 사용자의 시스템에서 코드를 실행하고 사용자를 대신하여 행동할 수 있게 됩니다. 마이크로소프트의 보안 권고에 따르면, 현재 지원되는 모든 윈도우 및 윈도우 서버..

국내외 보안동향 2020. 3. 24. 08:53

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 7번째 변종으로 확인되었습니다. ※ 관련글보기 ▶ 이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020.03.02)▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (20.01.21)▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (19.12.04) 【오..

악성코드 분석 리포트 2020. 3. 23. 17:03

CERT France – Pysa ransomware is targeting local governments 프랑스 CERT가 지방 정부를 노리는 새로운 랜섬웨어 공격에 대해 경고했습니다. 이 캠페인 운영자들은 Mespinoza 랜섬웨어의 새로운 버전인 Pysa 랜섬웨어를 배포하고 있는 것으로 나타났습니다. “ANSSI는 최근 프랑스의 지방 정부를 특히 노리는 컴퓨터 공격에 대한 제보를 받았습니다. 이 공격에는 랜섬웨어형 악성코드가 사용되었으며, 특정 파일을 사용할 수 없는 상태로 만들었습니다. 이 공격의 근원지가 어디인지는 밝혀지지 않았으며 현재 조사를 진행 중인 상태입니다.” 전문가에 따르면, 첫 번째 감염은 2019년 발견되었으며 피해자들은 악성코드로 인해 파일이 암호화 되었다고 신고했습니다. 이 ..

국내외 보안동향 2020. 3. 23. 13:47