Cryptocurrency miners infected more than 50% of the European airport workstations Cyberbit의 보안 연구원들이 유럽의 공항 워크스테이션 50% 이상을 감염시킨 크립토마이닝 캠페인을 발견했습니다. 전문가들은 유럽 공항 내 시스템이 업계 표준 백신이 설치되어 있음에도 불구하고실행 중 이었음에도 모네로 마이너에 감염 되었다는 사실을 지적했습니다. 공격자들은 백신 프로그램의 탐지를 우회하기 위해 마이너를 패키징했습니다. “우리가 발견한 악성코드는 1년도 전에 Zscaler가 발견했었습니다. 이 악성코드는 존재하는 대부분의 시그니쳐를 피하기 위해 수정 되었으며 VirusTotal에서 73개 제품 중 16개만 이를 악성으로 탐지하고 있습니다.” ..

국내외 보안동향 2019. 10. 18. 11:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 상반기, 클롭 랜섬웨어를 국내 기업에 대량으로 유포한 이후 지금까지 꾸준히 국내 기업들을 상대로 사이버 공격을 진행하고 있는 TA505조직이 공격을 재개하였습니다. 어제(17일)부터 재개된 TA505 조직의 공격은 금일(18일)까지 이어지고 있습니다. ▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 금일 발생한 공격들의 특징은 오전 10시 이전에 이메일을 발송하였으며, 일부의 경우 10월 급여명세서라는 제목으로 유포하므로써 감염률을 높이려고 시도하였습니다. [그림1] 견적서로 위장한 악성 메일 [그림 2] 급여명세서로 위장한 악성메일 및 악성파일 실행 과정 공격 방식은 어제와 동일하게 악성 매크로가 포함된 xls 파일이 첨부되어 있거나..

악성코드 분석 리포트 2019. 10. 18. 11:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. [그림 1] 악성 xls 파일을 첨부한 스팸 메일 [그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일 악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다. 해당 메일을 받은 사용자가 호기심에 첨부된 엑..

악성코드 분석 리포트 2019. 10. 17. 17:11

Attackers Hide Backdoors and Cryptominers in WAV Audio Files 새로운 악성 캠페인을 실행하는 공격자들이 WAV 오디오 파일을 사용해 타깃 시스템에 백도어와 모네로 크립토마이너를 숨기고 드롭하는 것으로 나타났습니다. 과거에는 스테가노그라피 기술을 사용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 방식 대부분이었는데, 오디오 파일을 악용한 것이 발견된 것은 이번이 두 번째 입니다. 지난 6월, 러시아의 지원을 받는 Turla 그룹(a.k.a Waterbug, Venomous Bear)이 Metasploit Meterpreter 백도어를 WAV 트랙에 내장시켜 해킹된 피해자의 컴퓨터에 드롭한 것을 발견되었습니다. 잘 보이는 곳에 숨겨져 있는 크립토마이너..

국내외 보안동향 2019. 10. 17. 16:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 대북 분야 국책연구기관을 사칭해 특정 기관 관계자 정보를 수집하는 스피어피싱(Spear Phishing) 공격이 발견돼, 관련 업계 종사자의 각별한 주의가 필요합니다. [그림 1] 통일연구원 전문가 자문 요청을 사칭한 악성 문서 파일 이번 공격에 사용된 이메일은 대북 분야 국책연구기관인 ‘통일연구원(KINU, Korea Institute for National Unification)’을 사칭하고 있으며, 해당 연구기관에서 전문가 자문을 요청하는 내용을 담고 있습니다. 발견된 메일에는 'KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp'라는 악성 한글 문서 파일이 첨부되어 있었습니다. 만약 수신자가 실제 자문 요청 문서로 착각해 이 문서..

악성코드 분석 리포트 2019. 10. 17. 13:16

Chinese Hackers Use New Cryptojacking Tactics to Evade Detection 대규모 악성 크립토마이닝 캠페인을 다수를 운영한 것으로 알려진 중국어를 구사하는 사이버 범죄 그룹인 Rocke가 TTP(전술, 기술, 절차)를 변경했습니다. 탐지를 피하기 위해 새로운 C2 인프라를 사용하고 악성코드를 업데이트했습니다. Rocke는 지난 2018년 Cisco Talos가 처음 발견한 공격 그룹입니다. 이들은 패치 되지 않은 Apache Struts, Oracle WebLogic, Adobe ColdFusion 서버를 노리며 공격자가 제어하는 Gitee와 GitLab 저장소를 통해 크립토마이닝 악성코드를 드롭했습니다. 지난 1월, Unit42 팀은 새로운 Rocke 악성코드 ..

국내외 보안동향 2019. 10. 16. 14:06

Sudo Flaw Lets Linux Users Run Commands As Root Even When They're Restricted 거의 모든 Unix 및 Linux 기반 OS에 핵심 커맨드로써 설치 되어 출시 되는 가장 중요하고 강력하며 흔하게 사용 되는 유틸리티 중 하나인 Sudo에서 취약점이 발견 되었습니다. 문제의 취약점은 Sudo의 보안 정책 우회 이슈로 악성 사용자나 프로그램이 “sudoers 구성”이 명시적으로 루트 접근을 허용하지 않을 때에도 루트 권한으로 임의 명령을 실행할 수 있도록 허용합니다. Sudo는 “superuser do”의 약자로 사용자들이 환경을 변경하지 않고도 다른 사용자의 권한으로 권한으로 어플리케이션이나 명령을 실행할 수 있도록 하는 시스템 명령어로 주로 루트 사..

국내외 보안동향 2019. 10. 15. 17:32

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 지난 10월 1일(월)부터 2일(화)까지 2일간 서울 삼성동 코엑스에서 진행된 '제 13회 국제 시큐리티 콘퍼런스(이하 ISEC) 2019'에 참가해 이틀 내내 뜨거운 관심을 받았습니다. 아시아 최대 규모의 통합 보안 콘퍼런스인 ISEC 2019는 기업의 정보보호최고책임자(CISO)를 비롯하여 현업에 종사하고 있는 보안실무자 7,000여 명이 참석하는 정보교류의 장으로서 올해 13회를 맞이했습니다. [ISEC 2019 이스트시큐리티 부스] 이스트시큐리티는 ISEC 컨퍼런스에 꾸준히 참가해 오며 고객 여러분들을 직접 뵙고 보안 솔루션을 소개하는 자리를 가져왔고, 올해에도 부스를 찾아주신 많은 분들의 관심과 성원으로 성공적으로 마칠 수 있었습니다. ISEC ..

이스트시큐리티 소식 2019. 10. 15. 17:21