안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. 금일 오전, 국내 기업에 특정 회계법인을 위장한 악성 메일이 유포되어 기업 사용자 여러분들의 주의가 필요합니다. 이번 공격 역시 최근 공격을 재개한 TA505 조직의 소행으로 추정되고 있습니다. 해당 악성메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다. [그림 1] 드롭박스 링크가 포함된 악성 메일 사용자가 해당 드롭박스 링크를 클릭한다면, 악성 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다. ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’ [그림 2] ..

악성코드 분석 리포트 2019. 10. 22. 13:27

Hundreds of millions of UC Browser Android Users Exposed to MiTM Attacks. Again. 6억명 이상이 사용하는 인기있는 UC 브라우저, UC 브라우저 미니 안드로이드 앱이 보호 되지 않은 채널을 통해 써드파티 서버에서 APK를 다운로드해 중간자 공격에 노출 된 것으로 나타났습니다. UC 브라우저는 2014년부터 알리바바 그룹의 소유가 된 UCWeb애서 개발했으며, StatCounter에 따르면 전 세계에서 4번째로 인기있는 모바일 브라우저입니다. Zscaler의 연구원들은 9appsdownloading[.]com 이라는 특정 도메인에서 의심스러운 연결을 발견해 이를 조사하고 있었습니다. 이 요청은 UC 브라우저에서 만들어진 것이었습니다. 추가 조사..

국내외 보안동향 2019. 10. 22. 09:55

안녕하세요. 이스트시큐리티입니다. 가을이 어느새 성큼 다가온지도 얼마 안된 것 같은데, 벌써 겨울이 다가오는 듯 제법 쌀쌀해집니다. 오늘은 모바일 그린 라이프 알약M의 3분기(7-9월) 활약상에 대해 함께 살펴보려고 합니다. :-) 알약M은 '알약' 하면 떠오르는 백신 기능과 더불어 스마트폰에 꼭 필요한 여러가지 관리 기능도 제공하고 있는데요. 알약M에서 무려 10가지가 넘는 기능을 간편하게 사용할 수 있다는 사실을 모두 알고계셨나요? 바이러스 검사, 파일 청소, 메모리 최적화, 배터리 관리, 메신저 파일 정리, 앱관리, 스미싱 탐지, Wi-Fi 관리, 스팸 차단, 앱 잠금, 설정 최적모드 등 이렇게나 많은 기능 중 알약M이 3분기에 특히! 활약한 기능은 무엇인지 지금 바로 발표하겠습니다! 알약M하면 보..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 10. 22. 09:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국에 몸캠 피싱앱이 등장하기 시작한 2013년부터 최근까지 몸캠 피싱앱은 은밀하고 꾸준하게 유포되고 있습니다. 몸캠 피싱은 스마트폰 채팅 어플(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성앱 설치를 유도하여 지인의 연락처를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취 합니다. 이런 공격 과정은 체계적인 프로세스를 따르는 것으로 파악 되며 공격을 원할 하게 수행할 수 있도록 조직을 체계적으로 구성하여 역할에 따라 공격을 수행하고 있습니다. 공격자들이 조직까지 구성하며 꾸준하게 몸캠 피싱을 시도하는 이유는 결국 돈이 되기 때문일 것입..

악성코드 분석 리포트 2019. 10. 22. 09:00

Emsisoft released a free decryption tool for the STOP (Djvu) ransomware STOP (Djvu) 랜섬웨어는 변종이 160개 이상이나 되며 전 세계 수 십만 피해자를 감염시켰습니다. 전문가들은 피해자 수를 총 460,000명으로 추정했습니다. 이로써 이 랜섬웨어는 오늘날 가장 활동적이며 광범위하게 활동하는 랜섬웨어가 되었습니다. Emsisoft의 랜섬웨어 통계 보고서 2019년 2,3 분기 자료에 따르면 전 세계에서 접수 된 랜섬웨어 감염 신고 중 절반 이상이 Djvu 랜섬웨어였습니다. 이 복호화 툴은 최초로 랜섬웨어의 키스트림에 사이드 채널 공격을 가했습니다. “랜섬웨어의 키스트림에 사이드 채널 공격을 가해 STOP의 암호화를 깨트릴 것입니다. 우리가..

국내외 보안동향 2019. 10. 21. 16:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40

A critical Linux Wi-Fi bug could be exploited to fully compromise systems GitHub의 수석 보안 엔지니어인 Nico Waisman이 리눅스의 치명적인 결함을 발견했습니다. CVE-2019-17666으로 등록 된 이 취약점은 악용 될 경우 공격자가 취약한 기기 전체를 해킹할 수 있게 됩니다. 이 취약점은 리눅스 버전 3.5.6 및 이전 버전에 영향을 미칩니다. 연구원들에 따르면, 이 문제는 최소 2015년부터 존재해왔습니다. 이 취약점은 “rtlwifi” 드라이버에 존재하는 버퍼 오버플로우 문제로 특정 리얼텍 Wi-Fi 모듈이 리눅스 OS와 통신하도록 허용합니다. NVD는 “리눅스 커널 5.3.6 및 이전 버전의 drivers/net/wirele..

국내외 보안동향 2019. 10. 21. 11:38

[10월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [경동택 배] 전화가 안되니 정확한 주소를 바꿔서 다시 보내주세요2 [Web발신][한진택 배]고객님 수신 주소가 잘못되었습니다 소포 반송 주소 변경3 [Web발신][경동택 배] 화물 분실, 본인확인 수정주소정보 재발급4 [Web발신][C*J대한통운]{{이름}}주소가 상세하지 않아서 배달할 수 없습니다. 정확한 주소 수정해주세요.5 [Web발신][한진택 배]김민형님 전화가 안 됩니다 유효한 주소를 수정하세요6 [물류 추적]물품 수송 훼손은 물품의 상세한 내용을 확인하세요 출..

안전한 PC&모바일 세상/스미싱 알림 2019. 10. 18. 13:49