안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난주(4일), 저희는 '비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중' 이라는 글을 통해 주의를 당부한 적이 있었습니다. 하지만 그 후 현재까지도 Nemty 랜섬웨어는 꾸준히 유포중에 있으며, 그 피싱 메일은 여전히 구직 의뢰내용을 위장하고 있습니다. [그림1] 구인내용을 위장하고 있는 피싱 메일 비너스락커 조직이 최근 유포하는 피싱 메일의 특징은 이메일 제목에 이름을 넣는다는 점으로, 실제로 구직 이메일의 경우 구직자의 이름을 제목에 넣는 경우가 많기 때문에 기업 사용자들의 각별한 주의가 필요합니다. [그림2] 피싱 메일에 포함되어 있는 첨부파일 피싱 메일의 첨부파일에는 한글파일(.hwp)을 위장한 실행파일(.exe)..

악성코드 분석 리포트 2019. 12. 10. 15:00

안녕하세요? 이스트시큐리티입니다. 동화 '헨젤과 그레텔', 다들 한번씩 읽어보셨을텐데요. 동화의 주인공인 헨젤과 그레텔은 숲 속에서 길을 잃지 않도록 바닥에 쿠키 조각을 떨어뜨리며 길을 지나갑니다. 인터넷 이용자들에게서도 비슷한 모습을 발견할 수 있는데요. 인터넷 이용자들은 온라인에서 활동을 하며 과자 부스러기를 흘리듯 자신의 정보를 남깁니다. 이는 이용자가 방문했던 사이트에 다시 접속했을 때, 정보가 남아있도록 도와주는 역할을 합니다. 쿠키(Cookie)란 무엇인가? 쿠키는 웹 사이트에 접속할 때 자동적으로 만들어지는 임시파일을 말하는데요. 쿠키는 아래와 같은 정보를 담고 있습니다. - 이용자가 본 내용- 상품 구매 내역- 신용카드 번호- 아이디- 비밀번호- IP 주소 그런데 왜? 백신 프로그램에서는 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 12. 10. 09:00

Ryuk ransomware contains a bug causing data loss for some victims 안티 바이러스 업체인 Emsisoft가 Ryuk 랜섬웨어에게 랜섬머니를 지불하고 제공받는 복호화 툴에서 심각한 버그를 발견했다고 밝혔습니다. 이 버그 때문에 피해자들은 랜섬머니를 지불했더라도 파일 타입 중 일부를 불완전한 상태로 복구하여 데이터가 손실될 수 있습니다. 이 복호화 툴은 파일을 복호화 시 파일의 맨 끝에 있는 데이터 1바이트를 자르는 것으로 나타났습니다. 일반적으로 마지막 1바이트는 padding용으로 사용되어 큰 문제가 없지만 일부 파일 확장자는 마지막 바이트에 중요한 정보를 포함해 제거될 경우 영구적으로 데이터가 손상되어 오픈되지 않을 수 있습니다. “VHD/VHDX를 포..

국내외 보안동향 2019. 12. 10. 08:38

Vietnam-linked Ocean Lotus hacked BMW and Hyundai networks 베트남과 관련된 APT Ocean Lotus (APT32) 그룹으로 추정되는 해커들이 자동차 제조 업체인 BMW와 현대자동차의 네트워크를 해킹했다고 독일 언론이 보도했습니다. 공격자는 자동차의 영업 비밀을 노렸습니다. “베트남 해커 그룹의 공격은 2019년 봄에 시작되었습니다. 지난 주말, 뮌헨의 자동차 회사는 문제의 컴퓨터를 네트워크에서 제거했습니다. 이 그룹의 IT 보안 전문가들은 최근 몇 달 동안 해커의 공격을 모니터링 중이었습니다. 이는 Bayerischer Rundfunk(BR)의 연구 결과 발견되었습니다.” “또한 해커들은 한국의 자동차 제조업체인 현대자동차도 공격했습니다.” OceanLo..

국내외 보안동향 2019. 12. 9. 08:58

ZeroCleare: New Iranian Data Wiper Malware Targeting Energy Sector 사이버 보안 연구원들이 국가의 지원을 받는 해커가 중동의 에너지 및 산업 조직을 노린 실제 공격에 사용한 새로운 파괴적인 데이터 와이퍼 악성 코드를 발견했습니다.ZeroClare라 명명된 이 데이터 와이핑 악성코드는 국가 지원을 받는 이란의 해킹 그룹 두 개인 APT34(ITG13, Oilrig로도 알려짐)와 Hive0081(xHunt로도 알려짐)과 연관이 있는 것으로 나타났습니다. ZeroCleare 악성 코드를 발견한 IBM의 한 연구원 팀은 이 악성코드가 악명 높은 Shamoon과 상당한 부분이 유사하다고 밝혔습니다. Shamoon은 지난 2012년 사우디아라비아의 최대 규모 오일..

국내외 보안동향 2019. 12. 6. 17:06

안녕하세요? 이스트시큐리티입니다. 한국침해사고대응팀협의회가 주최한 해킹방지워크샵에서 한국인터넷진흥원(KISA)은 ‘사이버위협 인텔리전스 네트워크’에 참여하는 국내 주요 보안업체 6개사와 함께 2020년도 7대 사이버 공격 전망을 발표했는데요. 이스트시큐리티가 속한 사이버위협 인텔리전스 네트워크와 한국인터넷진흥원이 함께 발표한 7대 사이버 공격 전망은 과연 무엇인지 바로 알려드리겠습니다! 기사 보러가기>>> KISA, 국내 보안업체와 2020년 7대 사이버 공격 전망 발표 2020년 7대 사이버 공격 전망 포스터(포스터 출처 : KISA) 사이버 위협 인텔리전스 네트워크란? 사이버위협 인텔리전스 네트워크는 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 한국인터넷진흥원과 이스트시큐리티, 안랩, 빛스캔,..

이스트시큐리티 소식 2019. 12. 6. 17:00

안녕하세요? 이스트시큐리티입니다. 지난 3월, 증가하는 모바일 위협에 대한 대응을 강화하고, 피싱 공격으로 인한 사용자의 피해를 최소화하기 위해 알약M은 '다운로드 폴더 검사 기능'을 추가했었는데요. 오늘은 알약M의 다운로드 폴더 검사 탐지 통계를 발표하려고 합니다! 기사 자세히 보기>>> ‘알약M’ 스마트폰 악성코드 탐지 통계 살펴봤더니... 악성코드 탐지수 400%↑ 알약M '다운로드 폴더 검사 기능'이란?안드로이드 기기에 앱을 설치하는 APK 파일이 다운로드될 때, 실시간으로 악성코드 여부를 판단해 사용자에게 안내하는 기능입니다. 이 기능을 통해 3월부터 10월까지 약 8개월간 스마트폰 악성코드 공격 총 72만4,125건을 탐지했습니다. 이 기능을 통해 탐지된 모바일 악성코드 건수는 3월 4만 1,..

이스트시큐리티 소식 2019. 12. 6. 15:07

[12월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1김X원 070-XXXX-XXXX[ XX저축은행 전자서명 안내 ]11월 27일 담당자 김X원 대리 화면 오른쪽 [다운로드] 클릭이름/생년월일/입력 후 [신청하기] 클릭(핀번호 :112.104.38.XXX:30)(접수번호 : ( 19853 )2⁨010-XXXX-XXXX⁩24시간에 확인부탁합니다.우체국택배3[Web발신]XX은행 엄X완 상담사 입니다. 하단 APP 클릭, 설치하셔서 본인 인증 확인 부탁드립니다. 감사합니다. 02-XXXX-XXXXhttp://36.226.133.XX..

안전한 PC&모바일 세상/스미싱 알림 2019. 12. 6. 15:01