안녕하세요? 이스트시큐리티입니다. 지난 11월 19일, 알약M에서 '구글플레이 유해앱 알림' 팝업이 발생한다는 고객지원 문의가 접수되었습니다. Google Play Protect는 구글이 보안상 또는 구글 정책 위반을 이유로 사용이 부적절한 앱을 표시하는 기능으로, 유해앱의 위험을 알리는 푸시알림을 띄우고, 해당 앱의 삭제를 유도하는데요. 그러나 이번 알약M 유해앱 경고는 구버전에 포함된 광고 솔루션을 사기로 오탐지한 건으로, 현재 해당 광고 솔루션은 10월 12일 이미 알약M에서 제거된 상태입니다. 알약M은 보안상 문제가 없으며, 절대 부적절한 방법으로 광고를 노출하지 않습니다. 현재 알약M뿐만아니라 후후 등 이동통신사 기기에 선탑재 된 앱에서 일부 발생하는 현상으로 확인되며, 이통사 측에서 구글에 유..

이스트시큐리티 소식 2019. 11. 22. 14:15

DePriMon downloader uses a never seen installation technique Lambert (Longhorn)APT 그룹이 악성코드 배포를 위해 사용하는 새로운 DePriMon 다운로더가 발견되었습니다. 2017년 시만텍에서 공개한 보고서에 따르면, Longhorn은 2011년부터 활동해온 북미의 해킹 그룹으로, 이 그룹은 매우 복잡한 제로데이 익스플로잇과 악성코드를 사용하여 정부와 금융, 에너지, 통신사, 교육, 항공 우주를 포함한 거의 모든 업계 조직에 APT 공격을 실행했습니다. 이들의 타깃 국가는 중동, 유럽, 아시아, 아프리카였습니다. 시만텍은 2017년 총 16개국의 최소 40 타깃이 이 공격에 피해를 입었다고 밝혔습니다. 이 그룹이 사용하는 악성코드 중 하나는..

국내외 보안동향 2019. 11. 22. 13:19

Ransomware: This free tool decrypts 85 variants of the horror-tinged Jigsaw malware 한 보안 회사가 피해자들의 지불을 유도하기 위해 호러 무비 테마를 사용하는 랜섬웨어로 암호화된 파일을 무료로 복호화해주는 툴을 공개했습니다. Emsisoft는 그들이 개발한 Jigsaw 랜섬웨어용 무료 복호화 툴이 현재 악성 변종 85개를 복호화할 수 있다고 밝혔습니다. 또한 새로운 변종이 등장할 경우 업데이트될 것이라고도 덧붙였습니다. Jigsaw 랜섬웨어는 2016년부터 활동했으며, 피해자가 돈을 지불하도록 협박하기 위해 영화 ‘쏘우’(Saw)내 아이디어를 훔쳐 사용한 것으로 유명합니다. Jigsaw는 파일을 암호화할 뿐만 아니라 카운트다운 후 파일을 ..

국내외 보안동향 2019. 11. 21. 09:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다. 또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. [그림] 백신 삭제 유도 코드 중 일부 해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 ji..

악성코드 분석 리포트 2019. 11. 21. 09:00

Google patches ‘awesome’ XSS vulnerability in Gmail dynamic email feature 구글이 Gmail 내 XSS 취약점을 수정했습니다. 구글 팀은 이 취약점을 ‘어썸’이라 이름 지었습니다. 지난 월요일, Securitum의 보안 연구원인 Michał Bentkowski는 책임 있게 버그 수정이 완료될 때까지 기다린 후 이 취약점을 공개했습니다. Bentkowski는 블로그를 통해 이 보안 취약점은 Gmail이 지난 7월 일반 기능으로 추가한 AMP4Email 기능에 존재한다고 설명했습니다. 동적 이메일로도 알려진 AMP4Email은 이메일에서 코멘트 스레드, 이벤트 초대 등 쉽게 동적 콘텐츠를 표시하기 위해 구현되었습니다. 물론 AMP4Email은 이 기능..

국내외 보안동향 2019. 11. 20. 08:04

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일 수상한 이메일들이 대량으로 수신되어 사용자들의 주의가 필요합니다. [그림1] 수상한 메일 해당 메일들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다. 첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다. [그림2] 매크로 실행을 유도하는 DOC 파일 매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. [그림3] 악성 매크로가 포함된 워드 파일 파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다..

악성코드 분석 리포트 2019. 11. 19. 11:04

New NextCry Ransomware Encrypts Data on NextCloud Linux Servers 현재 안티바이러스 엔진이 탐지하지 못하는 새로운 랜섬웨어가 실제 공격에서 발견되었습니다. 이 랜섬웨어의 이름은 NextCry이며, 암호화된 파일에 추가되는 확장자, 파일 동기화 및 공유 서비스 클라이언트인 NextCloud를 노린다는 점을 고려하여 명명되었습니다. 이 악성코드는 NextCloud 인스턴스를 노리며 현재 어떤 솔루션도 해당 랜섬웨어를 탐지하지 못하는 것으로 확인되었습니다. NextCloud 사용자인 xact64는 해당 악성코드로 암호화된 개인 파일을 복호화하는데 도움을 얻기 위해 BleepingComputer 포럼에 게시물을 올렸습니다. 그는 시스템을 백업했지만, 동기화 프로세..

국내외 보안동향 2019. 11. 18. 08:47

CVE-2019-3648 flaw in all McAfee AV allows DLL Hijacking SafeBreach의 연구원들이 McAfee 안티바이러스 소프트웨어에서 관리자 권한을 가진 공격자가 권한을 상승시켜 SYSTEM 권한으로 코드를 실행하도록 허용하는 취약점인 CVE-2019-3648을 발견했습니다. 이 취약점은 McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), McAfee Internet Security (MIS) 16.0.R22를 포함한 모든 버전에 존재합니다. 공격자가 CVE-2019-3648 취약점을 악용할 경우 서명되지 않은 DLL을 NT AUTHORITY\SYSTEM로써 실행되는 서비스 다수에 로드할 수 있게 됩니다. “..

국내외 보안동향 2019. 11. 15. 13:26