안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 비영리 기관의 계정을 노리는 계정 피싱 메일이 급증하고 있어 사용자들의 주의가 필요합니다. 해당 메일들은 수신자 메일 계정의 비정상적인 상태를 알리며 로그인을 하도록 사용자의 클릭을 유도하는 방식을 사용하고 있습니다. [그림 1] 계정 이상 관련 제목으로 유포 된 이메일 화면 해당 계정 피싱 메일을 받은 사용자가 본인 메일 이상 확인을 위해 본문에 기재된 링크를 클릭할 경우 메일 로그인 화면으로 이동하게 됩니다. [그림 2] 본문 링크 클릭 시 메일 로그인 화면 계정 피싱 타깃이 된 사용자는 본인 회사 사이트로 착각하여 로그인 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다. 전송된 개인 정보 항목과 도메인 정보..

악성코드 분석 리포트 2020. 2. 29. 08:30

Cisco patches incoming to address Kr00k vulnerability impacting routers, firewall products Cisco가 악용될 경우 Wi-Fi 네트워크 트래픽에 인터셉트하도록 허용할 수 있는 최근 공개된 취약점을 수정하기 위한 패치를 위한 작업을 진행 중입니다. 지난 수요일 ESET 연구원들이 공개한 CVE-2019-15126으로 등록된 이 취약점은 “Kr00k”으로 명명되었습니다. Kr00k은 공격자가 Wi-Fi 시스템을 연결 해제 상태로 만들어 WPA2 Personal / Enterprise Wi-Fi 채널을 통해 전송되는 패킷을 복호화할 수 있는 기회를 제공합니다. Broadcom 또는 Cypress Wi-Fi 칩셋을 사용하는 Wi-Fi가 활성..

국내외 보안동향 2020. 2. 28. 14:49

안녕하세요. ESRC(시큐리티 대응센터) 입니다. 최근 코로나19 바이러스 관련 국내 확진자 수가 1,000명을 돌파하면서 코로나19에 대한 공포감이 확산되는 분위기를 악용하여 악성코드가 포함된 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이스트시큐리티 ESRC에서 이미 여러차례 코로나 19 이슈를 악용한 악성코드에 대해 주의를 당부드렸지만, 모두 외국어로 된 이메일들 이었습니다. 그러나, 2월 26일(수)에 한글로 작성된 코로나 19 바이러스 사칭 악성코드가 발견되어 국내 사용자들의 각별한 주의가 필요합니다. 이번 공격은 꾸준히 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 소행으로 추정되고 있으며, 기존의 김수키(Kimsuky) 조직 공격..

악성코드 분석 리포트 2020. 2. 28. 13:07

[2월 다섯째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 배송불가 물품 확인되여 확인부탁합니다2 택배확인 부탁드립니다3 [Web발신][c j대한]고객님 상품미발송건(1건)물품/*주*소지확인:4 [Web발신]{C*J대한}운송장번호[336***7]*주*소지미확인 반송처리주소확인: 출처 : 알약M기간 : 2020년 2월 24일 ~ 2020년 2월 28일

안전한 PC&모바일 세상/스미싱 알림 2020. 2. 28. 11:41

안녕하세요? 이스트시큐리티입니다. 오늘은 정보보호의 최전방, 이스트시큐리티의 '시큐리티대응센터(ESRC)'에 대해서 소개하는 시간을 가져보려고 합니다. ESRC란 무엇일까요? 보안기업, 특히 안티바이러스를 주요 아이템으로 다루는 보안기업들은 안티 바이러스 제품으로 수집된 다양한 악성코드와 공격기법 등을 분석하기 위한 ‘보안전문가집단’을 보유하고 있습니다. 이스트시큐리티의 보안전문가집단이 바로 ‘시큐리티대응센터(ESRC)’입니다. ▲이스트시큐리티 시큐리티대응센터 ESRC [사진=보안뉴스] 이스트시큐리티 시큐리티대응센터(ESRC)는 2017년 1월 3일 이스트소프트의 보안사업 조직이 분사하면서 탄생한 ‘이스트시큐리티’의 설립과 함께 만들어졌습니다. 이스트시큐리티의 대표 상품인 ‘알약(ALYac)’을 기반으로..

알약人 이야기 2020. 2. 28. 11:24

Android malware can steal Google Authenticator 2FA codes 보안 연구원들이 ‘구글 인증기’를 통해 생성된 OTP를 추출하여 탈취할 수 있는 안드로이드 악성코드 변종을 발견했다고 밝혔습니다. 구글 인증기는 많은 온라인 계정이 이중 인증(2FA) 시 사용하는 모바일 앱입니다. 구글은 지난 2010년 이 모바일 인증 앱을 출시했습니다. 이 앱은 사용자가 온라인 계정에 로그인할 때 로그인 창에 입력해야 하는 6~8자리 코드를 생성하여 작동합니다. 구글은 SMS 기반 OTP에 대한 대안으로 이 인증기를 출시했습니다. 구글 인증기 코드는 사용자의 스마트폰에서 생성되고 안전하지 않은 모바일 네트워크를 통해 이동하지 않기 때문에 SMS 기반 인증 방식보다 안전한 것으로 간주되..

국내외 보안동향 2020. 2. 28. 10:17

해당 취약점은 Exchange Control Panel(ECP) 모듈중에서 사용하는 validationKey와 decryptionKey로 인해 발생하는 취약점입니다. 취약점 원리 Microsoft Exchange Server는 설치된 후에 web.config 파일 중 모두 동일한 validationKey와 decryptionKey를 갖고있게 됩니다. 이 암호키는 ViewState의 보안성을 보증하기 위해 사용됩니다. Viewstate는 ASP.NET Web 어플리케이션 직렬화 된 형식으로 클라이언트에 저장하는 서버 측 데이터로, 클라이언트 측은 __VIEWSTATE request 매개변수를 통하여 이러한 데이터를 서버에게 돌려줍니다. 인증이 된 공격자는 인증 된 session 중 ViewStateUser..

국내외 보안동향 2020. 2. 28. 08:04

Australian banks targeted by DDoS extortionists 지난 몇 주간 진행된 악성 캠페인이 호주의 은행 및 금융 기관을 노리고 있는 것으로 나타났습니다. 이 공격자들은 피해자에게 막대한 금액의 랜섬머니를 모네로(XMR)로 지불하지 않을 시 분산 서비스 거부 (DDoS) 공격을 실행하겠다는 협박 이메일을 전송했습니다. 호주의 ASD(Australian Signals Directorate) 산하 사이버 보안 센터(ACSC)는 현재 진행중인 이 캠페인에 대한 경고를 발행했습니다. ACSC는 현재까지 발견된 증거로 볼 때 공격자들이 이 협박을 실제로 실행에 옮기지는 않은 것으로 보이며 DDoS 공격도 발견되지 않았다고 밝혔습니다. 작년 시작된 글로벌 DDoS 협박 캠페인 호주의 조..

국내외 보안동향 2020. 2. 27. 15:44