Two malicious Python libraries were stealing SSH and GPG keys 파이썬 보안 팀이 PyPI (Python Package Index)에서 악성 파이썬 라이브러리 2개를 제거했습니다. 이 두 라이브러리는 감염된 개발자의 프로젝트에서 SSH와 GPG 키를 훔치고 있었던 것으로 드러났습니다. 이 두 라이브러리는 “python3-dateutil”과 “jeIlyfish”로 모두 동일한 개발자인 “olgired2017″이 제작했으며, 정식 앱과 유사한 이름을 사용했습니다. python3-dateutil 라이브러리는 인기 높은 “dateutil” 라이브러리를 모방했으며 “jeIlyfish”(첫번째 L은 대문자 I로 사용)는 “jellyfish” 라이브러리를 모방했습니다. ..

국내외 보안동향 2019. 12. 5. 14:53

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 피싱 메일을 통해 이모텟(Emotet) 악성코드가 대량으로 유포되고 있습니다. 이모텟(Emotet) 악성코드는 금융정보를 탈취하기 위한 악성코드로 2014년 처음 발견되었습니다. Emotet 악성코드는 주로 이메일을 통해 유포되며 자가복제, 사용자 정보탈취, 다운로더 등 다양한 악성 행위를 수행합니다. 이번에 유포된 이모텟(Emotet)은 업무 지원요청, 청구서, 견적서 등 다양한 형태의 피싱메일로 유포되었으며, 이는 기존에 유포되었던 방식과 매우 유사합니다. 이모텟(Emotet) 악성코드는 올해 초 이메일을 통해 유포되었다가 잠시 휴식기를 가졌으며, 최근 9월달부터 12월 현재까지 꾸준히 유포되고 있습니다. 특히 11월달부터는 유입이 큰 ..

악성코드 분석 리포트 2019. 12. 5. 11:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 스미싱 메일을 통해 Nemty 랜섬웨어 2.2 버전이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1] 피싱 메일 Nemty 2.2 랜섬웨어를 유포하는 조직은 유창하게 한글을 구사하고 있으며, 네이버, 한메일 주소를 통하여 이메일을 유포합니다. 특이한 점은 이메일 문장에 마침표를 생략한다는 것입니다. 이러한 특징을 보아 배후에는 비너스락커 조직이 있는 것으로 추정하고 있습니다. [그림2] 악성 메일에 첨부된 파일 이메일에는 압축파일이 첨부되어 있으며, 이 압축파일 안에는 한글 파일을 위장한 .exe 파일이 포함되어 있습니다. [그림3] 알집에서 띄워주는 이중 확장자에 대한 경고창 알집을 사용하는 사용자라면 알집에서 다중 확장자에 대해 주의를..

악성코드 분석 리포트 2019. 12. 4. 14:47

Avast and AVG Browser Extensions Spying On Chrome and Firefox Users 파이어폭스나 크롬 브라우저에서 Avast 또는 AVG에서 제공하는 아래 확장 프로그램을 사용 중일 경우 즉시 비활성화 하거나 제거하시기 바랍니다. Avast Online SecurityAVG Online SecurityAvast SafePriceAVG SafePrice 이 브라우저 확장 프로그램 4개는 사용자 수백만 명 이상의 동의 없이 브라우징 히스토리를 포함한 많은 데이터를 수집한 것으로 나타났습니다. 사용자 대부분은 자신의 웹브라우저에 이 확장 프로그램을 다운로드 및 설치했다는 사실 조차 모를 수 있습니다. 사용자가 PC에 Avast나 AVG 안티바이러스 프로그램을 설치할 때 자..

국내외 보안동향 2019. 12. 4. 09:01

안녕하세요? 이스트시큐리티입니다. 국제 공인 보안 평가 기관 바이러스 블러틴(Virus Bulletin)에 이스트시큐리티 연구 산물인 ‘안드로이드 기반 악성코드의 유사도 분석 방법론’을 주제로 한 논문이 게재되었다는 기쁜 소식 전해드립니다! 기사 자세히 보기 >> 이스트시큐리티, ‘악성코드 유사도 분석 방법론’ 논문 ‘바이러스 블러틴’ 게재 바이러스 블러틴이란? 바이러스 블러틴은 '체크마크', 'ICSA'와 함께 세계 3대 보안인증으로 꼽히는 'VB100'을 심사하는 글로벌 보안인증기관입니다. 심사 외에도 글로벌 보안업체 지능형지속위협(APT) 분석 보고서와 연구 결과를 논문 형태로 게재하고 있습니다. 실제로 카스퍼스키, 시만텍, 맥아피 등 글로벌 보안 업체들은 매년 바이러스 블러틴에 논문을 발표합니다...

이스트시큐리티 소식 2019. 12. 4. 09:00

■ 청와대 행사 견적서로 둔갑한 APT 공격 '블루 에스티메이트' 등장 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 03일, 마치 HWP 한글 문서파일처럼 위장한 악성 EXE 실행파일이 발견되었는데, 한국시간으로 12월 02일 오후 6시경 만들어졌습니다. 파일명 제작날짜 (타임스탬프) MD5 베트남 녹지원 상춘재 행사 견적서.hwp (다수의 공백 포함) .exe 2019-12-02 18:01:05 (KST) 35d60d2723c649c97b414b3cb701df1c 파일명에는 베트남 녹지원 상춘재 행사 견적서라고 되어 있고, 첫번째 확장자는 hwp 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행파일 형식을 가지고 있습니다. 지난 11월 27..

악성코드 분석 리포트 2019. 12. 4. 00:38

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 부동산 임대료 관련한 이메일을 위장한 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. [그림1] 부동산 관련 메일을 사칭한 악성메일 이번에 유포된 악성 이메일은 어눌한 한국어로 작성되어 있으며, 내용은 임대료 납부가 지연되었으며 3일 이내에 임대료를 납부하지 않는다면 여러 방면의 책임을 져야한다고 적혀 있습니다. [그림2] 악성메일 첨부파일 이메일 첨부파일에는 .exe 파일이 첨부되어 있으며, 만약 수신자가 첨부파일 내에 있는 .exe 파일을 실행하면 소디노키비 랜섬웨어에 감염되게 됩니다. [그림3] 소디노키비 랜섬웨어 감염화면 해당 랜섬웨어를 분석해본 결과, 기존 리플라이 오퍼레이터(Reply Operator) 그룹이 유포한 이메일과 ..

악성코드 분석 리포트 2019. 12. 3. 13:24

This trojan malware is being used to steal passwords and spread ransomware 의료 및 교육 업계를 노리는 새로운 해킹 캠페인이 발견되었습니다. 공격자들은 모니터링 및 민감 정보 탈취 등의 목적으로 윈도우 시스템의 거의 모든 기능을 제어할 수 있는 맞춤형 파이썬 기반 악성코드를 사용합니다. PyXie RAT이라 명명된 이 RAT은 키로깅, 크리덴셜 수집, 영상 녹화, 쿠키 탈취, 중간자 공격 실행 및 감염된 시스템에 다른 악성코드 배포하는 등 많은 기능을 가지고있습니다. 이 악성코드는 의심스러운 행동으로 발생한 증거를 삭제하여 백신 탐지를 우회합니다. Blackberry Cylance의 사이버 보안 연구원들은 이 공격을 추적하여 PyXie라 명명했습..

국내외 보안동향 2019. 12. 3. 10:23