안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 계정정보를 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] 피싱 메일 피싱 메일은 계약 제안 메일을 위장하고 있으며, 해당 메일에는 동일한 htm 파일 2개가 첨부되어 있습니다. [그림2] 네이버 로그인 화면을 위장한 피싱 사이트 첨부되어있는 htm 파일을 클릭하면 네이버 화면을 위장한 피싱 페이지가 뜨게 됩니다. 만약 해당 페이지를 진짜 네이버페이지로 오인하여 자신의 계정정보를 입력하여 로그인 버튼을 누르면, 입력한 정보들은 공격자 서버로 전송되게 됩니다. [그림3] 해커의 서버로 전송되는 정보들 사용자 계정정보를 수집 후, 사용자를 실제 네이버 로그인 사이트로 리다이렉트 시켜 사용자들의 의심을 피하려 시도합니다. ..

악성코드 분석 리포트 2019. 12. 12. 11:30

Zeppelin Ransomware Targets Healthcare and IT Companies 타깃 공격을 통해 미국과 유럽 회사를 감염시키는 VegaLocker/Buran 랜섬웨어의 새로운 변종인 Zeppelin이 발견되었습니다. 이 랜섬웨어 패밀리는 VegaLocker로 시작해 나중에는 Buran Ransomware로 이름을 변경했으며 2019년 5월 러시아의 악성코드 및 해커 포럼에서 서비스형 랜섬웨어(RaaS)로 홍보되었습니다. 이 서비스형 랜섬웨어를 이용하는 고객들은 지불받은 랜섬머니의 총 75%를, Buran의 운영자는 25%를 가져갑니다. [그림1] Buran 광고 이후 새로운 변종인 VegaLocker, Jamper가 발견되었으며 지난달에는 가장 최신 변종인 Zeppelin이 발견되었..

국내외 보안동향 2019. 12. 12. 09:27

Adobe Releases Patches for 'Likely Exploitable' Critical Vulnerabilities 어도비가 Adobe Acrobat 및 Reader, Photoshop CC, ColdFusion, Brackets를 포함한 인기 소프트웨어에서 총 25개의 새로운 보안 취약점을 패치했습니다. 어도비는 이 취약점 중 17개의 심각도를 ‘치명적’으로 분류했으며 실제 공격에 악용되었을 가능성이 있다고 밝혔습니다. 하지만 현재까지 이 취약점이 악용된 사례는 아직 확인되지 않았습니다. Windows 및 Mac OS용 Adobe Acrobat 및 Reader 소프트웨어 업데이트는 총 21개 보안 취약점을 수정하며, 이 중 14개의 심각도는 치명적, 나머지는 중요 등급을 받았습니다. 해당..

국내외 보안동향 2019. 12. 11. 13:31

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 아디다스 공식 온라인 스토어인 아디클럽을 사칭한 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 아디클럽을 사칭한 이메일은 12월 4일부터 유포되기 시작하였으며, 12월 9일(월)까지도 지속적으로 유포가 되고 있는 상황입니다. [그림1] 아디클럽 사칭 피싱 메일 이러한 상황을 인지한 아디클럽측은 6일날부터 팝업 형태로 공식 홈페이지에 경고공지를 띄웠으며, 현재는 팝업 형태까지는 아니지만 공지사항으로 여전히 사용자들에게 주의를 기울여 달라고 경고하고 있습니다. [그림2] 아디다스측에서 올린 공지 아디클럽 피싱 메일에는 매크로가 포함된 doc 파일이 첨부되어 있으며, 만약 사용자가 첨부되어 있는 doc 파일을 실행하면 이모텟 악성코드가 실행됩니다..

악성코드 분석 리포트 2019. 12. 10. 15:46

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주(4일), 저희는 '비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중' 이라는 글을 통해 주의를 당부한 적이 있었습니다. 하지만 그 후 현재까지도 Nemty 랜섬웨어는 꾸준히 유포중에 있으며, 그 피싱 메일은 여전히 구직 의뢰내용을 위장하고 있습니다. [그림1] 구인내용을 위장하고 있는 피싱 메일 비너스락커 조직이 최근 유포하는 피싱 메일의 특징은 이메일 제목에 이름을 넣는다는 점으로, 실제로 구직 이메일의 경우 구직자의 이름을 제목에 넣는 경우가 많기 때문에 기업 사용자들의 각별한 주의가 필요합니다. [그림2] 피싱 메일에 포함되어 있는 첨부파일 피싱 메일의 첨부파일에는 한글파일(.hwp)을 위장한 실행파일(.exe)..

악성코드 분석 리포트 2019. 12. 10. 15:00

안녕하세요? 이스트시큐리티입니다. 동화 '헨젤과 그레텔', 다들 한번씩 읽어보셨을텐데요. 동화의 주인공인 헨젤과 그레텔은 숲 속에서 길을 잃지 않도록 바닥에 쿠키 조각을 떨어뜨리며 길을 지나갑니다. 인터넷 이용자들에게서도 비슷한 모습을 발견할 수 있는데요. 인터넷 이용자들은 온라인에서 활동을 하며 과자 부스러기를 흘리듯 자신의 정보를 남깁니다. 이는 이용자가 방문했던 사이트에 다시 접속했을 때, 정보가 남아있도록 도와주는 역할을 합니다. 쿠키(Cookie)란 무엇인가? 쿠키는 웹 사이트에 접속할 때 자동적으로 만들어지는 임시파일을 말하는데요. 쿠키는 아래와 같은 정보를 담고 있습니다. - 이용자가 본 내용- 상품 구매 내역- 신용카드 번호- 아이디- 비밀번호- IP 주소 그런데 왜? 백신 프로그램에서는 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 12. 10. 09:00

Ryuk ransomware contains a bug causing data loss for some victims 안티 바이러스 업체인 Emsisoft가 Ryuk 랜섬웨어에게 랜섬머니를 지불하고 제공받는 복호화 툴에서 심각한 버그를 발견했다고 밝혔습니다. 이 버그 때문에 피해자들은 랜섬머니를 지불했더라도 파일 타입 중 일부를 불완전한 상태로 복구하여 데이터가 손실될 수 있습니다. 이 복호화 툴은 파일을 복호화 시 파일의 맨 끝에 있는 데이터 1바이트를 자르는 것으로 나타났습니다. 일반적으로 마지막 1바이트는 padding용으로 사용되어 큰 문제가 없지만 일부 파일 확장자는 마지막 바이트에 중요한 정보를 포함해 제거될 경우 영구적으로 데이터가 손상되어 오픈되지 않을 수 있습니다. “VHD/VHDX를 포..

국내외 보안동향 2019. 12. 10. 08:38

Vietnam-linked Ocean Lotus hacked BMW and Hyundai networks 베트남과 관련된 APT Ocean Lotus (APT32) 그룹으로 추정되는 해커들이 자동차 제조 업체인 BMW와 현대자동차의 네트워크를 해킹했다고 독일 언론이 보도했습니다. 공격자는 자동차의 영업 비밀을 노렸습니다. “베트남 해커 그룹의 공격은 2019년 봄에 시작되었습니다. 지난 주말, 뮌헨의 자동차 회사는 문제의 컴퓨터를 네트워크에서 제거했습니다. 이 그룹의 IT 보안 전문가들은 최근 몇 달 동안 해커의 공격을 모니터링 중이었습니다. 이는 Bayerischer Rundfunk(BR)의 연구 결과 발견되었습니다.” “또한 해커들은 한국의 자동차 제조업체인 현대자동차도 공격했습니다.” OceanLo..

국내외 보안동향 2019. 12. 9. 08:58