안녕하세요.ESRC (시큐리티대응센터)입니다. 아직 코로나 바이러스 이슈가 진정될 기미가 보이지 않는 상황에서, 코로나 바이러스 이슈를 노린 Hoax가 또다시 유포된 것이 확인되어 주의가 필요합니다. 해당 Hoax는 코로나19 랜섬웨어처럼 위장하고 있으나 암호화 행위를 하지 않음이 확인되었습니다. 이 Hoax는 2020년 3월 11일에 생성된 것으로 추정되며, COVID-19라는 파일명을 가지고 있습니다. 실제로 사용자들이 해당 Hoax파일을 실행하게 되면, 실제 이 Hoax는 경고창을 띄우고 [그림 1]와 같은 메시지를 보여주게 됩니다. [그림 1] Hoax 실행시 시스템 경고창으로 위장하여 사용자에게 보이는 메시지 영어로 작성되어 있는 해당 문구는 'Just because you're home doe..

악성코드 분석 리포트 2020. 3. 12. 16:12

Beware of 'Coronavirus Maps' – It's a malware infecting PCs to steal passwords Reason Cybersecurity의 연구원들이 인터넷 사용자들의 코로나 바이러스에 대한 두려움을 악용하는 새로운 공격에 대한 위협 분석 보고서를 공개했습니다. 이 악성코드 캠페인은 코로나19 바이러스의 확산 현황을 보여주는 지도를 미끼로 사용자가 악성 애플리케이션을 다운로드 및 실행하도록 속입니다. 이 악성 애플리케이션은 사용자에게 정식 온라인 소스에서 로드한 맵을 보여주지만 백그라운드에서는 컴퓨터를 해킹합니다. 오래된 악성코드를 이용한 새로운 위협 지난 주 MalwareHunterTeam에서는 부주의한 사용자의 정보를 훔치도록 설계된 새로운 공격을 발견했으며 ..

국내외 보안동향 2020. 3. 12. 14:31

Poor Rowhammer Fixes On DDR4 DRAM Chips Re-Enable Bit Flipping Attacks Rowhammer 취약점을 기억하시나요? 이는 최신 DRAM 칩에 존재하는 치명적 이슈로 공격자가 타깃 시스템에서 반복적으로 메모리 셀에 접근해 비트 플립을 유도하여 높은 커널 권한을 얻을 수 있도록 허용합니다. 많은 메모리 칩 생산 업체에서는 최신 DDR4 DRAM에서 Rowhammer 취약점을 완화하기 위해 피해 행이 한계점을 넘어 접근할 경우 인접 행을 리프레시하는 TRR(타깃 행 리프레시)을 적용했습니다. 하지만 TRR 방식을 적용하더라도 공격자가 새로운 해머링 패턴을 통해 최신 하드웨어에서 빗 플립 공격이 가능하도록 재활성화 할 수 있는 것으로 나타났습니다. 새로운 Ro..

국내외 보안동향 2020. 3. 12. 10:37

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 싱가폴 한인 교회 유치원에서 허위로 발주 된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 구매발주 제목으로 유포 된 이메일 화면 해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했습니다. 해당 메일에는 'T T00 구매 주문 -009111.zip', 'T T4.5 구매 주문 -009111.zip'라는 ZIP 파일이 첨부되어 있다. 사용자가 해당 첨부파일을 다운로드하여 압축 해제 후, 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있다. [그림 2] 첨부파일 내부 화면 해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을..

악성코드 분석 리포트 2020. 3. 12. 09:14

Microsoft Hijacks Necurs Botnet that Infected 9 Million PCs Worldwide MS는 전 세계 900만대의 PC들을 감염시킨 Necurs 봇넷 네트워크를 성공적으로 차단했다고 밝혔습니다. 이 봇넷의 차단은 35개 국가의 경찰과 민간기술회사들의 협력의 성과입니다. 연구원들이 Necurs 악성코드가 사용하고 있는 도메인 생성 알고리즘(DGA)를 알아내어 차단에 성공할 수 있었습니다. DGA는 주기적으로 새로운 도메인을 만들어 내는 기술로, 배후에 있는 악성코드 제작자들이 끊임없이 C&C서버의 위치를 바꾸고 감염된 디바이스들과 끊임없이 통신할 수 있도록 도와줍니다. MS는 "우리는 이후 25 개월 내에 생성 될 6 백만 개 이상의 고유 한 도메인을 정확하게 예측할..

국내외 보안동향 2020. 3. 11. 15:37

Paradise Ransomware Distributed via Uncommon Spam Attachment 공격자들이 피싱 캠페인을 통해 Paradise 랜섬웨어를 다운로드 및 설치하는 엑셀 웹 쿼리 첨부파일을 보내기 시작한 것으로 나타났습니다. Paradise 랜섬웨어는 2017년 9월 처음 발견되었으며 꾸준한 활동을 이어왔습니다. 만들기 쉽고 흔히 사용되지 않는 IQY 첨부파일 사이버 보안 회사인 LastLine에 따르면 Paradise 랜섬웨어 운영자들이 혜택, 주문 등으로 위장한 이메일을 보내고 있었던 것으로 나타났습니다. 이 이메일에 첨부된 파일은 IQY 파일로, 오픈되면 PowerShell 명령을 포함한 원격 사이트로 연결됩니다. 이 명령이 실행되면 Paradise 랜섬웨어를 다운로드 및 설..

국내외 보안동향 2020. 3. 11. 14:12

안녕하세요. ESRC(시큐리티 대응센터)입니다. 연초부터 발생한 국제적 이슈인 신종 코로나로 인하여 택배를 통한 상품 주문량이 크게 증가했습니다. 이에 따라 택배 관련 스미싱도 증가하여 가뜩이나 신종 코로나로 불안해하는 국민들에게 불편을 가중시키고 있습니다. 이에 최근 수집되고 있는 택배 관련 스미싱 문자 내용과 정상적인 택배 배송 관련 문자 내용을 살펴보고 스미싱 예방 방법에 대해 알아보도록 하겠습니다. 다음 표는 최근 수집된 택배 관련 스미싱들을 정리한 내용입니다.

악성코드 분석 리포트 2020. 3. 11. 10:36

취약점 내용 MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치치 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점입니다. 해당 취약점은 OS가 SMB 3.1.1 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하여 야기되는 취약점으로, 공격자는 조작된 패킷을 악용하여 원격에서 인증을 거치치 않은 상태로 원격코드실행이 가능합니다. 또한 직접 SMB 서버를 직접 공격하여 RCE 취약점을 악용할 수 있을 뿐만 아니라, SMB 클라이언트를 공격하여 공격자가 특정한 웹페이지, 압축파일, 공유파일, office 문서등을 조작하는 방식으로 취약점을 트리거 할 수 있습니다. 해당 취약점은 그 위험성이 EternalBlue, NotPetya, WannaC..

국내외 보안동향 2020. 3. 11. 09:37