안녕하세요. ESRC(시큐리티대응센터)입니다. 최근 해외 유튜브 동영상 포스팅 하단의 설명부 링크를 악용하여 유포중인 RAVACK 랜섬웨어가 확인되어 주의가 필요합니다. 해당 랜섬웨어는 해외 유튜브 계정에 업로드된 유료SW의 크랙버전 및 activation 소개 영상물을 통해 유포가 이뤄집니다. [그림 1] 유튜브에 유료SW 크랙버전을 설치하는 동영상을 올리고 하단에 다운로드 주소와 패스워드를 업로드 즉, 유튜브 영상 하단의 내용 설명란에 작성되어 있는 구글드라이브 다운로드 링크를 사용자가 클릭하여 암호가 걸린 파일을 다운로드합니다. 다운로드한 파일은 유료SW 크랙버전으로 사칭하고 있으며, 사용자가 악성코드 링크와 함께 기재된 패스워드를 암호로 입력하게 되면 압축이 풀리고 사용자는 랜섬웨어 감염에 노출됩..

악성코드 분석 리포트 2020. 3. 5. 16:12

Zero-Day Bug Allowed Attackers to Register Malicious Domains 베리사인(Verisign)과 구글, 아마존, 디지털오션(DigitalOcean) 등 SaaS 서비스에 영향을 미치는 제로데이 취약점으로 인해 공격자가 .com 및 .net 을 사용하는 악성 동형이의어 도메인명을 등록할 수 있었던 것으로 나타났습니다. 이 악성 도메인은 조직을 노린 내부, 피싱, 소셜 엔지니어링 공격에 사용될 수 있었습니다. 이로 인해 일반 최상위 도메인(.com, .net 등)과 일부 SaaS 회사의 서브도메인에 누구나 동형이의어 도메인을 등록할 수 있었습니다. 현재 베리사인과 아마존(S3)에서만 이 문제를 해결한 상태입니다. 베리사인 측은 동형이의어 문자를 사용한 도메인을 등록할..

국내외 보안동향 2020. 3. 5. 15:41

Microsoft ends Internet Explorer 10 support for Windows Server 2012 MS가 2020년 2월부터 Windows Server 2012와 Windows Embedded 8 Standard의 Internet Explorer10 지원을 종료하였습니다. MS는 2020년 2월 11일부터 모든 업데이트, 유료지원 및 Internet Explorere 10의 기술 컨텐츠 업데이트를 중단한다고 밝혔습니다. 이는 즉 2020년 3월 10일의 정규 업데이트 부터 Internet Explorer10의 업데이트가 포함되지 않는다는 뜻입니다. 2019년 1월, MS는 Windows Server 2012와 Windows Embedded 8 Standard를 사용하는 회사에 대해..

국내외 보안동향 2020. 3. 5. 13:00

안녕하세요? 이스트시큐리티입니다. 드디어! 많은 분이 기다리시던 대한민국 1위 모바일 백신 알약M과 함께하는 이벤트가 진행됩니다! 💊 참여방법1. 하루에 알약 3알을 모은다.여기서 잠깐! 알약 3알은 어떻게 모으나요?>> 네 개의 주요 기능(검사/배터리/청소/메모리) 중 매일 2개의 미션 기능이 스탬프 페이지에 제시됩니다.알약을 실행하면 +1! 오늘의 미션 기능 두번 실행 시 +2! 이렇게 하루에 총 알약 3알을 모으실 수 있어요. * 모아진 알약 3알은 당일 자정까지 유지되니, 알약 3알을 모으시면 바로 스탬프를 꼭 찍어주세요! 2. 3알을 모은 뒤 스탬프를 찍는다.3. 스탬프를 모아서 경품에 응모한다. 📅 이벤트기간 및 당첨자 발표일2020년 3월 5일(목) ~ 2020년 4월 8일(수)당첨자 발표:..

이스트시큐리티 소식 2020. 3. 5. 09:30

Let's Encrypt to Revoke 3 Million TLS Certificates Due to Bug 3월 5일, Let's Encrypt의 인증기관(CA) 소프트웨어 버그로 인하여 약 300만개의 TLS 인증서를 취소하였습니다. 현재 Let's Encrypt는 이미 영향받는 고객들에게 이메일로 공지를 발송하였으며, 빠른 시일내에 갱신하기를 권고하고 있습니다. Encrypt는 인증서를 발행하기 전 소프트웨어가 도메인 소유권을 확인하는 방식에 영향을 미치는 CAA 버그로 인해 3 백만 개의 인증서를 취소해야한다고 설명했습니다. Savla는이 버그로 인해 악의적인 공격자가 웹 사이트에서 TLS 인증서를 제어 할 수있게되어 해커가 웹 트래픽을 도청하고 민감한 데이터를 수집 할 수 있다고 경고했습니다...

국내외 보안동향 2020. 3. 5. 09:19

DoppelPaymer Ransomware Used to Steal Data from Supplier to SpaceX, Tesla 록히드 마틴, SpaceX, 보잉과 같은 우주 항공 업체에 맞춤형 부품을 납품하는 회사가 파일을 암호화하고 데이터를 유출하는 랜섬웨어의 타깃이 된 것으로 나타났습니다. 콜로라도에 위치한 기업인 Visser Precision은 공격자가 회사의 데이터에 접근해 이를 탈취했다고 밝혔습니다. 한 보안 연구원은 유출된 회사의 파일 중 일부를 온라인에서 발견했습니다. Visser는 자동차 및 항공 산업을 포함한 여러 업계에서 사용하는 정밀 부품을 생산합니다. 이 회사의 고객들은 업무 특성상 매우 높은 보안 수준이 요구됩니다. Emsisoft의 위협 분석가인 Brett Callow는 해..

국내외 보안동향 2020. 3. 4. 16:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43

Nemty Ransomware Punishes Victims by Posting Their Stolen Data Nemty 랜섬웨어가 훔친 데이터를 게시하는 사이트를 만들었습니다. 랜섬웨어 운영자들은 2019년부터 피해자가 돈을 지불하지 않을 경우 훔친 데이터를 공개적으로 게시하는 전략을 사용하기 시작했습니다. 공격자가 회사의 재무 정보, 직원의 개인 정보, 고객 데이터를 훔쳐 게시할 경우, 이는 단순한 랜섬웨어 공격이 아닌 데이터 유출로 이어집니다. Maze 랜섬웨어가 훔친 파일을 게시하자, DoppelPaymer와 Sodinokibi 등 다른 랜섬웨어 패밀리들 또한 피해자를 협박하기 위한 유출 사이트를 개설했습니다. 이제 Nemty 랜섬웨어 또한 피해자가 돈을 지불하지 않을 경우 기기를 암호화하기 전..

국내외 보안동향 2020. 3. 4. 08:33