Ryuk Ransomware Uses Wake-on-Lan To Encrypt Offline Devices Ryuk 랜섬웨어가 해킹된 네트워크에 연결된 전원이 꺼진 기기를 켜 암호화하기 위해 WOL(Wake-on-Lan)을 사용하는 것으로 나타났습니다. WOL은 특수 네트워크 패킷을 보내 전원이 꺼진 기기를 깨우거나 전원을 켤 수 있는 하드웨어 기능입니다. 이 기능은 전원이 꺼진 기기에 업데이트를 보내거나 예약 작업을 실행하기 위해 컴퓨터를 켜야하는 관리자들이 유용하게 사용합니다. SentinelLabs 대표인 Vitali Kremez의 최신 Ryuk 랜섬웨어 분석에 따르면, 이 악성코드가 실행될 때 '8 LAN' 인수를 가진 서브 프로세스를 생성하는 것으로 나타났습니다. 이 인수가 사용되면, Ryuk은..

국내외 보안동향 2020. 1. 15. 09:46

안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

안녕하세요 ESRC 입니다. 최근 통일외교안보특보 세미나 발표문서처럼 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자의 각별한 주의가 필요합니다. 이번 공격에 사용된 악성 DOC 문서는 지난 6일(현지시간) 미 워싱턴 DC 국익연구소의 2020년 대북 전망 세미나 관련 질의응답 내용 등을 담고 있습니다. 이스트시큐리티는 2019년 4월, 처음 한ㆍ미를 겨냥한 APT 공격을 발견하였고, 이 공격을 '스모크 스크린(Smoke Screen)'캠페인이라 명명하였습니다. 스모크 스크린(Smoke Screen) 캠페인 스피어피싱 방식으로 특정 공격타겟에게만 은밀히 악성 파일(.hwp 혹은 doc)이 첨부된 이메일을 발송한다.외형적으로 정치, 대북 관련 키워드..

악성코드 분석 리포트 2020. 1. 14. 08:26

안녕하세요?이스트시큐리티 ESRC 입니다. 최근 일부 연예인들의 스마트 폰이 해킹당해 문자메시지 등 개인정보가 유출되었다는 이슈가 연일 화제를 낳고 있습니다. 이번 사건은 초기에 스미싱이나 악성앱 감염으로 인한 위협노출 등 다양한 형태가 추정되었지만, 다른 곳에서 유출된 개인정보로 인한 2차 피해, 즉 크리덴셜 스터핑의 가능성에 무게가 실리고 있습니다. * 크리덴셜 스터핑(Credential Stuffing)이란?공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 마구 대입(Stuffing)하는 공격 방식 일반적으로 사용자들은 인터넷에서 자신만 사용하는 고유의 아이디를 갖고 있으며, 편의를 위하여 다양한 사이트에 동일한 로그인 인증정보를 공통..

전문가 기고 2020. 1. 13. 14:59

Android Trojan Kills Google Play Protect, Spews Fake App Reviews 공격자들이 시스템 앱으로 위장한 안드로이드 악성코드를 통해 구글 플레이 프로텍트 서비스 비활성화, 가짜 리뷰 생성, 악성 앱 설치, 광고 노출 등과 같은 공격을 실행한 것으로 나타났습니다. Trojan-Dropper.AndroidOS.Shopper.a라 명명된 이 악성코드는 여러 번 난독화 되었으며, 안드로이드 기기가 처음 부팅되었을 때 앱 구성을 담당하는 정식 안드로이드 서비스와 매우 유사한 시스템 아이콘과 ConfigAPK 이름을 사용합니다. 카스퍼스키 랩의 연구원인 Igor Golovin은 "Trojan-Dropper.AndroidOS.Shopper.a는 지난 2019년 10월~11월..

국내외 보안동향 2020. 1. 13. 09:05

[1월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [운송조회] 상품포함. 문패번호 전면적이지 않음.변경확인>2 [Web발신][한*진-택*배]고객님 01/06 주문 주소가 존재하지 않음,고객다시확인 3 "[Web발신] 2020년 2월 9일 (일) - 오후 5:00 확인4 [cj대한],고객님/연결되지 주소지/상세주 확인주세요. 5 [CJ*통*운]수취인과 주소가 없습니다 화주 정/보/를 확인하세요 출처 : 알약M기간 : 2020년 1월 6일 ~ 2020년 1월 10일

안전한 PC&모바일 세상/스미싱 알림 2020. 1. 10. 09:53

안녕하세요이스트시큐리티 ESRC 입니다. 최근 이메일 보안솔루션의 스팸필터 로직 우회를 시도하는 혹스 메일이 발견되어 사용자들의 주의가 필요합니다. [그림1] 이메일 보안솔루션의 스팸필터 로직 우회를 시도하는 혹스 메일 Hěllø! Í åm å håcker whø hås åccess tø yøür øpěråtíng systěm.Í ålsø håvě full åccěss tø yøür åccøüňt. Í'vě běěn wåtchíng yøü før å fěw mønths nøw.Thě fåct ís thåt yøü wěrě ínfěctěd wíth målwårě thrøügh ån ådült sítě thåt yøü vísítěd. Íf yøü årě nøt fåmílíår wíth thís, Í wíll..

악성코드 분석 리포트 2020. 1. 10. 09:36