안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 계정정보 유출을 목적으로 하는 피싱 메일이 유포되고 있으며, 이 피싱메일은 개인계정이 아닌 홈페이지 등에 공개되어 있는 기업들의 그룹 계정들을 타겟으로 하고 있어 기업사용자들의 주의가 필요합니다. [그림1] 계정탈취 피싱메일 해당 메일은 비밀번호가 만료된다는 내용과 함께 링크가 포함되어 사용자에게 발송됩니다. 이 메일을 수신한 사용자가 만약 이메일에 포함되어 있는 "동일한 비밀번호를 유지하십시오" 링크를 클릭한다면, 비밀번호를 입력하는 창이 뜨게됩니다. [그림2] 메일에 포함되어 있는 링크를 클릭했을 때 보이는 페이지 사용자가 이 창을 끄게 되면 아무런 피해를 입지 않지만, 만약 사용자가 비밀번호 입력란에 비밀번호를 입력하게 되면 계정정보가 유출..

악성코드 분석 리포트 2019. 11. 26. 16:26

TrickBot Trojan Getting Ready to Steal OpenSSH and OpenVPN Keys 보안 연구원들이 Trickbot 뱅킹 악성코드가 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 훔칠 수 있는 패스워드 스틸러 모듈을 업데이트하는 등 꾸준히 진화하고 있다고 밝혔습니다. TrickBot(Trickster, TrickLoader, TheTrick으로도 알려짐)은 모듈형 악성코드로 2016년 10월 실제 공격에서 발견된 이래 지속적으로 새로운 기능과 모듈을 업그레이드하고 있습니다. 처음 발견된 변종은 중요 데이터를 수집해 공격자에게 보내는 뱅킹 악성코드의 기능만을 가지고 있었지만, 더욱 위험한 다른 악성코드 변종으로 시스템을 감염시키는 것이 발견되어 현재는 악명 높..

국내외 보안동향 2019. 11. 26. 10:29

Clop Ransomware Tries to Disable Windows Defender, Malwarebytes Clop CryptoMix 랜섬웨어가 피해자의 데이터를 암호화하기 위해서 윈도우 디펜더 및 마이크로소프트 시큐리티 에센셜, Malwarebytes의 백신을 비활성화하려 시도하는 것으로 나타났습니다. Clop은 CryptoMix 랜섬웨어의 변종으로, Clop 확장자를 사용하며 랜섬노트의 이름은 ClopReadMe.txt이며 "Dont Worry C|0P"이라는 메시지를 포함하고 있습니다. 이러한 이유로 이는 Clop 랜섬웨어로 명명되었습니다. 보안 연구원에 따르면, Clop 공격자들은 윈도우 디펜더를 비활성화하기 위해 암호화를 시작하기 전 다양한 보안 소프트웨어 비활성화를 시도하는 프로그램을 ..

국내외 보안동향 2019. 11. 25. 10:00

[11월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]{로젠택*배}11/19 고객님택*배 배송불가/주*소불명.*주*소지학인2 [Web발신][물류 보기]***우체국 창구에 직접 제출.확인 부탁드립니다 3 [Web발신][물류 추적]고객 물품(도어 번호는 상세하지 않음) 변경 요청>4 [CJ 통운]고객의 정보 가 정확하지 않아 입력해주세요 출처 : 알약M기간 : 2019년 11월 18일 ~ 2019년 11월 22일

안전한 PC&모바일 세상/스미싱 알림 2019. 11. 22. 14:50

안녕하세요? 이스트시큐리티입니다. 지난 11월 19일, 알약M에서 '구글플레이 유해앱 알림' 팝업이 발생한다는 고객지원 문의가 접수되었습니다. Google Play Protect는 구글이 보안상 또는 구글 정책 위반을 이유로 사용이 부적절한 앱을 표시하는 기능으로, 유해앱의 위험을 알리는 푸시알림을 띄우고, 해당 앱의 삭제를 유도하는데요. 그러나 이번 알약M 유해앱 경고는 구버전에 포함된 광고 솔루션을 사기로 오탐지한 건으로, 현재 해당 광고 솔루션은 10월 12일 이미 알약M에서 제거된 상태입니다. 알약M은 보안상 문제가 없으며, 절대 부적절한 방법으로 광고를 노출하지 않습니다. 현재 알약M뿐만아니라 후후 등 이동통신사 기기에 선탑재 된 앱에서 일부 발생하는 현상으로 확인되며, 이통사 측에서 구글에 유..

이스트시큐리티 소식 2019. 11. 22. 14:15

DePriMon downloader uses a never seen installation technique Lambert (Longhorn)APT 그룹이 악성코드 배포를 위해 사용하는 새로운 DePriMon 다운로더가 발견되었습니다. 2017년 시만텍에서 공개한 보고서에 따르면, Longhorn은 2011년부터 활동해온 북미의 해킹 그룹으로, 이 그룹은 매우 복잡한 제로데이 익스플로잇과 악성코드를 사용하여 정부와 금융, 에너지, 통신사, 교육, 항공 우주를 포함한 거의 모든 업계 조직에 APT 공격을 실행했습니다. 이들의 타깃 국가는 중동, 유럽, 아시아, 아프리카였습니다. 시만텍은 2017년 총 16개국의 최소 40 타깃이 이 공격에 피해를 입었다고 밝혔습니다. 이 그룹이 사용하는 악성코드 중 하나는..

국내외 보안동향 2019. 11. 22. 13:19

Ransomware: This free tool decrypts 85 variants of the horror-tinged Jigsaw malware 한 보안 회사가 피해자들의 지불을 유도하기 위해 호러 무비 테마를 사용하는 랜섬웨어로 암호화된 파일을 무료로 복호화해주는 툴을 공개했습니다. Emsisoft는 그들이 개발한 Jigsaw 랜섬웨어용 무료 복호화 툴이 현재 악성 변종 85개를 복호화할 수 있다고 밝혔습니다. 또한 새로운 변종이 등장할 경우 업데이트될 것이라고도 덧붙였습니다. Jigsaw 랜섬웨어는 2016년부터 활동했으며, 피해자가 돈을 지불하도록 협박하기 위해 영화 ‘쏘우’(Saw)내 아이디어를 훔쳐 사용한 것으로 유명합니다. Jigsaw는 파일을 암호화할 뿐만 아니라 카운트다운 후 파일을 ..

국내외 보안동향 2019. 11. 21. 09:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다. 또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. [그림] 백신 삭제 유도 코드 중 일부 해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 ji..

악성코드 분석 리포트 2019. 11. 21. 09:00