안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 코로나 19 바이러스 감염증 확진자 수치가 계속 증가하고 있고, 대중들의 관심과 공포가 집중되고 있는 상황에서 코로나(Corona) 바이러스 이슈를 노리고 'Corona Ransomware'(이하 코로나 랜섬웨어) 라는 명칭을 사용하는 랜섬웨어가 등장하여 주의가 필요합니다. 해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019년 11월 경에 유포된 바 있는 Hakbit 랜섬웨어의 변종으로 추정됩니다. 실제로 이번에 발견된 코로나 랜섬웨어는 Hakbit 랜섬웨어와 동작방식에서 여러모로 유사한 부분이 확인됩니다. 또한 랜섬노트의 경우, 이번 코로나 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯하여 요구하는 금액과 안내하는 비트코인 지불 사이트, 랜섬노..

악성코드 분석 리포트 2020. 3. 4. 07:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 유포중이던 Sodinokibi 랜섬웨어에 특이점이 발견되었습니다. 기존 Sodinokibi 랜섬웨어와 비교하면 이번에 확인된 Sodinokibi 역시 대동소이합니다. 일단 해당 Sodinokibi에 감염되면, 사용자PC에 저장된 특정 확장자 파일을 암호화하고 파일 확장자명을 기존 파일명 뒤에 일괄적으로 x35g0t03으로 붙여서 변경합니다. 또한 'Your files are encrypted !!!'라는 메시지를 포함한 푸른색 노이즈 이미지를 바탕화면으로 설정하는 동시에 x35g0t03-README-PLEASE라는 랜섬노트 파일을 띄웁니다. [그림 1] Sodinokibi에 감염되어 바탕화면 변경 및 랜섬노트 실행된 PC 화면 ※ 소디노키비(Sodin..

악성코드 분석 리포트 2020. 3. 3. 17:26

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 지난 02월 26일, '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 악성 DOC MS-Word 문서가 첨부된 스피어 피싱(Spear Phishing) 공격이 포착되었고, 당시 이 공격은 '스모크 스크린(Smoke Screen)' APT(지능형지속위협) 캠페인의 일환으로 분석한 바 있습니다. 한편 2020년 03월 03일, 새로운 공격이 발견되었는데, '비건 미국무부 부장관 서신 20200302.doc' 파일명이 사용되었습니다. ESRC는 해당 악성 문서 파일을 분석한 결과 기존 '스모크 스크린'과 동일한 APT 공격으로 조사를 완료했습니다. 스모크 스크린 사이버 위협에 적용된 전략, 기술, 절차(TTPs:Tactics, Te..

악성코드 분석 리포트 2020. 3. 3. 17:22

FasterXML jackson-databind란 JSON과 오브젝트 변환에 사용되는 Java 라이브러리로, Java 오브젝트를 json과 xml형태로 변환하며, 동시에 json 오브젝트를 Java 오브젝트로 변환하기도 합니다. 취약점 내용 CVE-2020-9546org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. CVE-2020-9547com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig와 관련된 직렬화 가젯과 입력 간의 상호 작용을 잘못 처리하여 발생합니다. CVE-2020-9548br.com.anteros.dbcp.Ante..

국내외 보안동향 2020. 3. 3. 16:42

US Drugstore Giant Walgreens Leaked Users' Sensitive Info 미국의 대규모 약국 체인인 Walgreens가 지난 주말 버그로 인해 모바일 앱 사용자 중 일부가 다른 사용자의 민감 정보에 접근할 수 있었다고 밝혔습니다. Walgreens는 CVS Health 다음으로 미국에서 두 번째로 큰 약국 체인으로 50개 주에서 약국 9,277곳을 운영하며 230,000명의 직원을 고용하고 있습니다. PII와 PHI, 실수로 유출 돼 회사가 이 사고에 영향을 받은 고객들에게 보낸 데이터 유출 사고 통지 이메일에 따르면, 데이터 유출 사고는 Walgreens 모바일 앱 내 보안 메시지가 무단으로 공개되어 발생한 것으로 나타났습니다. 이 버그로 인해 2020년 1월 9일부터 1..

국내외 보안동향 2020. 3. 3. 15:15

Nemty ransomware “LOVE_YOU” malspam campaign Malwarebytes와 X-Force IRIS의 연구원들이 비밀 연애 편지로 위장한 메시지를 통해 Nemty 랜섬웨어를 배포하는 스팸 캠페인을 발견했습니다. 이 캠페인은 현재도 진행 중입니다. 공격자들은 이 메시지를 비밀 연애 편지로 위장하기 위해 메일 제목을 “Don’t tell anyone,” “I love you,” “Letter for you,” “Will be our secret,” “Can’t forget you”와 같이 작성했습니다. 모든 스팸 메일의 내용은 ‘;)’ 이모티콘만을 포함하고 있었습니다. 또한 (‘LOVE_YOU_######_2020.zip’)와 같은 형식의 ZIP 압축파일을 첨부하고 있었습니다. ..

국내외 보안동향 2020. 3. 3. 10:14

Windows 10 KB4535996 Update caused a system freeze or blue screen of death 일부 사용자들의 PC에서 Windows 10 KB4535996 업데이트 이후 시스템 멈춤, 블루스크린이 발생하는 문제점이 발생하였습니다. Windows 10 KB4535996은 2월 27일에 공개된 윈도우 선택적 업데이트로, 업데이트 실패 이후, 0x800f0922 및 0x80070003 오류메세지가 발생합니다. 업데이트 후, 재부팅 과정 중 100% 설치가 되지 않아 롤백이 된 후, 업데이트가 되지 않는 문제점이 발생합니다. MS 게시판에서는, 일부 사용자들이 업데이트 설치 후 PC가 랜덤하게 멈추는 문제점에 대해 불만을 제기하고 있습니다. 한 사용자는 XPS 15에 K..

국내외 보안동향 2020. 3. 2. 14:26

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 02월 28일, 이력서 양식 한글문서(hwp)로 위장한 scr파일을 이용한 APT(지능형지속위협) 공격이 등장했습니다. 해당 APT 공격에 이용된 파일의 알약 탐지명은 Trojan.Agent.115608C / Trojan.Agent.Detplock 입니다. 이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 5번째 변종으로 확인되었습니다. ※ 관련글보기 ▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)▶ 청와대 행사 견적서 사칭 변종,..

악성코드 분석 리포트 2020. 3. 2. 13:04