TrickBot gangs developed the PowerTrick backdoor for high-value targets SentinelLabs의 전문가들이 TrickBot 운영자가 금융 기관 등 고 가치 타깃을 노린 최근 공격에 사용한 새로운 PowerShell 백도어를 발견했습니다. TrickBot은 2017년 10월경부터 활동을 시작한 유명한 뱅킹 트로이목마로 꾸준히 새 기능이 추가되며 업그레이드 되어왔습니다. 2019년 2월에는 원격 앱 크리덴셜 탈취를 위한 새로운 모듈을 추가하는 변종이 발견되었습니다. TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었으나, 제작자는 몇 년에 걸쳐 데이터 탈취 기능, 다른 페이로드 드롭 기능 등과 같은 새로운 기능을 꾸준히 구현했습니다. 2..

국내외 보안동향 2020. 1. 10. 09:01

안녕하세요? 이스트시큐리티 ESRC 입니다. 2019년 4분기, 알약을 통해 총 20만 7048건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다. 통계에 따르면, 2019년 4분기 알약을 통해 차단된 랜섬웨어 공격은 총 207,048건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,250건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. ESRC는 4분기 랜섬웨어 주요 동향으로 Sodinokibi 랜섬웨어의 지속과 Nemty 랜섬웨어의 끊임없는 진화를 이슈로 꼽았습니다. 3분기와 마찬가지로 Sodi..

전문가 기고 2020. 1. 9. 13:51

SNAKE Ransomware Is the Next Threat Targeting Business Networks 기업 네트워크를 공격하여 연결된 모든 기기를 암호화하려 시도하는 새로운 랜섬웨어인 SNAKE가 발견되어 기업 네트워크 관리자의 각별한 주의가 필요합니다. 이 랜섬웨어는 기업 네트워크에 침투해 관리자 크리덴셜을 수집한 후 네트워크에 연결된 모든 컴퓨터의 파일을 암호화합니다. 기업을 노리는 랜섬웨어는 천천히 증가하고 있습니다. 현재는 Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga 랜섬웨어가 기업을 노리고 있으며, 이제 이 목록에 Snake 랜섬웨어도 추가되었습니다. 현재까지 발견된 Snake 랜섬웨어 관련 정보 지..

국내외 보안동향 2020. 1. 9. 09:18

2019년 하반기를 기점으로 공공기관과 일반기업에서부터 보수적인 금융권까지 적극적으로 EDR(Endpoint Detection and Response) 솔루션 도입을 검토하고 있다는 소식이 들려오며, 2020년은 국내 EDR 시장의 물꼬가 본격적으로 터지는 원년이 될 것으로 기대되고 있습니다. 국내 보안 시장에 EDR의 개념이 소개된 지는 제법 오래지만, 지금에서야 유의미한 도입사례들이 속속 생기는 데는 어떤 변화가 있었을까요? 하루에도 몇 건씩 발생하는 랜섬웨어, 데이터 유출 사고뿐만 아니라 고도화된 지능형 지속 위협 APT(Advanced Persistent Threat) 공격도 더는 남의 일이 아니라는 점도 분명 한 몫을 할 것입니다. 하지만 국내 시장 상황과 맞지 않다고 외면받던 EDR 솔루션이 ..

전문가 기고 2020. 1. 8. 14:58

China-based Bronze President APT targets South and East Asia Secureworks CTU의 연구원들은 Bronze President APT 그룹이 실행하는 사이버 간첩 캠페인을 발견했습니다. 중국에 기반을 둔 이 그룹은 최소 2014년 말부터 활동한 것으로 추정되며, 아시아 내 정치조직과 법 집행기관, NGO를 타깃으로 합니다. 이들은 타깃 네트워크를 해킹하기 위해 맞춤형 원격 접속 툴과 공개적으로 얻을 수 있는 원격 접속 및 해킹 툴을 사용했습니다. 일단 네트워크 해킹에 성공하면, 공격자들은 그들의 권한을 상승시키고 시스템에 악성코드를 유포합니다. 이후 특정 파일 유형을 수집하고 탐지를 최소화하기 위한 커스텀 배치 스크립트를 실행합니다. 공격자들은 공개적..

국내외 보안동향 2020. 1. 8. 11:38

안녕하세요. 이스트시큐리티 ESRC 입니다. 최근 Apple iPhone 분실 관련 메시지가 iMessage를 이용하여 유포되고 있는 정황이 포착되었습니다. 수신된 iMessage 내용은 아래와 같습니다. [그림 1] iMessage로 발송된 스미싱 메시지 (출처 : 네이버 지식인) ※ 스미싱 상세내용 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 아이폰 찾았습니다. 아래의 주소 https://www.apple.com-sr.kr 연결하여 상세한 위치를 확인하고 기기를 활성화하십시오. 고객님의 아이폰 찾기에 협조해드리겠습니다.Apple 지원팀 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 iPhone XS Max를 찾았습니다. 고객님께서 https://www.apple.com-sr.k..

악성코드 분석 리포트 2020. 1. 8. 10:29

VPN warning: REvil ransomware targets unpatched Pulse Secure VPN servers REvil(Sodinokibi) 랜섬웨어 운영자들이 대규모 조직을 협박하기 위한 발판을 마련하고, 안티바이러스를 비활성화하기 위해 패치되지 않은 Pulse Secure VPN 서버를 공격하기 시작했습니다. 한 보안 연구원은 Pulse Secure VPN을 사용하는 조직들에 ‘Big Game’ 랜섬웨어 공격에 피해를 입고 싶지 않다면 당장 패치를 적용해야 한다고 경고했습니다. 공격자들은 Shodan.io IoT 검색 엔진을 통해 취약한 VPN 서버를 쉽게 찾아낼 수 있는 것으로 나타났습니다. 영국의 보안 연구원인 Kevin Beaumont는 REvil 랜섬웨어를 ‘Big gam..

국내외 보안동향 2020. 1. 7. 09:44

DeathRansom evolves from joke to actual ransomware 사이버 보안 업체인 Fortinet이 장난일 뿐이었던 DeathRansom이 견고한 암호화 체계를 통해 실제로 파일을 암호화하고 있다고 발표했습니다. 이 랜섬웨어는 탄탄한 배포 캠페인을 통해 지난 2달 동안 매일 피해자를 발생시켰습니다. 첫 DeathRansom 감염은 2019년 11월 발생했습니다. 이 랜섬웨어의 초기 버전은 그저 농담으로 여겨졌습니다. 당시 DeathRansom은 사용자의 파일을 전혀 암호화하지 않았으며 랜섬웨어 흉내만 냈었습니다. 첫 번째 버전은 모든 사용자 파일에 확장자를 추가하고 시스템에 사용자에게 돈을 요구하는 랜섬노트를 드롭했습니다. 이 모든 작업은 실제로 사용자의 파일을 암호화하지 않..

국내외 보안동향 2020. 1. 6. 09:28