Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites 공격자들이 악성코드 배포 방식으로 해킹된 사이트의 콘텐츠 위에 가짜 Q&A 포럼을 오버레이하는 새로운 배포 방식을 생각해 냈습니다. Sodinokibi 랜섬웨어 배포자는 워드프레스 사이트 다수를 해킹하여 원래 사이트의 콘텐츠 위에 가짜 Q&A 포럼 포스트를 표시하는 JavaScript를 주입하고 있는 것으로 나타났습니다. 가짜 포스트에는 사이트 관리자의 답변이 달려있는데, 여기에는 랜섬웨어 인스톨러로 연결되는 링크가 포함되어 있었습니다. 이 가짜 포럼 포스트는 관리자가 제공한 답변 및 링크가 진짜처럼 보이게 하기 위해 사용자가 방문한 페이지 내용과 관련된 정보를 포함했습니다. 그러나, 다운로드한..

국내외 보안동향 2019. 9. 3. 10:41

Malspam campaign bypasses secure email gateway using Google Docs 공격자들이 구글 문서(Google Docs)를 사용해 PDF로 위장한 TrickBot 뱅킹 트로이목마를 피해자들에게 배포하고 있는 것으로 나타났습니다. TrickBot은 2016년 10월부터 활동해온 유명한 뱅킹 트로이목마로 제작자는 새로운 기능을 추가하며 지속적으로 업그레이드하고 있습니다. TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었습니다. 하지만 수년에 걸쳐 제작자는 데이터 탈취, 페이로드 드롭 등 새로운 기능을 추가했습니다. 최근 Secureworks의 CTU(Counter Threat Unit) 연구원들은 미국 모바일 사용자들을 노린 공격에서 새로운 동적 웹 인..

국내외 보안동향 2019. 9. 2. 10:33

■ 라자루스 위협은 현재 진행형 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 23일 금요일, 한국의 특정 암호화폐 거래소 가입회원 일부에게 스피어 피싱(Spear Phishing) 공격이 수행되었습니다. ESRC에서는 이와 관련된 전반적인 자료를 수집 분석하였고, 위협 배후에 '라자루스(Lazarus)' 조직이 가담하고 있는 것으로 파악했습니다. 이번 공격 역시 지난 20일 공개했던 【라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속】 공격벡터의 연장선이며, 지속적인 공격이 수행되고 있다는 것을 알 수 있습니다. '무비 코인' 캠페인은 한국의 비트코인 거래자들을 집중 겨냥하고 있으며, HWP 취약점을 주무기로 쓰고 있습니다. [그림 1] 실제 공격에..

악성코드 분석 리포트 2019. 8. 30. 18:58

[8월 다섯째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 주문서 오류를 제때에 수정하십시오2 [CJ대한통운]전화가 연결되지 않으니 주문서를 확인하십시오 3 [Web발신]Your courier has been delivered. Please check and accept it in time 4 [Web발신]서로가 마주보며 다져온 사랑을 이제 함께 한 곳을 바라보며 걸어갈 수 있는 큰 사랑으로 키우고자 합니다.저희 사랑의 이름으로 지켜나갈 수 있게 부디 오셔서 앞날을 축복해 주시면 감사하겠습니다.♡ 2019년9월21일..

안전한 PC&모바일 세상/스미싱 알림 2019. 8. 30. 14:30

Magecart Hackers Compromise 80 More eCommerce Sites to Steal Credit Cards 보안 연구원들이 80개 이상의 전자 상거래 웹사이트가 Magecart에 해킹되어 온라인 쇼핑 유저의 신용 카드 정보를 공격자의 C&C 서버로 보내고 있는 것을 발견했습니다. 해킹된 웹사이트는 미국, 캐나다, 유럽, 라틴 아메리카, 아시아에서 운영하는 모터스포츠 및 하이패션 비즈니스에서 유명한 브랜드였습니다. Magecart는 고객의 지불 카드 정보를 탈취하려는 의도로 온라인 신용카드 스키머를 은밀히 설치하는데 특화된 사이버 범죄 그룹을 통칭합니다. 폼재킹(Formjacking) 공격으로도 알려진 이 가상 신용 카드 스키머는 해커들이 해킹된 웹사이트의 장바구니 페이지에 주로 ..

국내외 보안동향 2019. 8. 30. 09:30

Experts uncovered an advanced phishing campaign delivering the Quasar RAT Cofense 연구원들이 가짜 이력서를 통해 Quasar RAT을 배포하는 수준 높은 피싱 캠페인을 발견했습니다. 이 캠페인의 주요 특징은 공격 벡터를 위장하기 위해 여러 안티-분석 방식을 사용한다는 것입니다. Quasar RAT은 여러 공개 저장소에서 얻을 수 있는 오픈 소스 툴이며, 공격자들은 탐지를 피하기 위해 패스워드 보호, 암호화된 매크로 등을 사용합니다. Quasar RAT은 APT33, APT10, Dropping Elephant, Stone Panda, The Gorgon Group을 포함한 많은 해킹 그룹이 과거에 사용했었습니다. 이 피싱 캠페인을 통해 배포..

국내외 보안동향 2019. 8. 29. 10:33

안녕하세요? 이스트시큐리티입니다. 오는 9월 17일, 제3회 '2019 이스트시큐리티 정기 엔드포인트 보안 컨퍼런스'가 개최됩니다. 이번에는 빅데이터 운영 인텔리전스 플랫폼을 제공하는 스플렁크코리아(splunk)와 엔드포인트 보안 전문 기업 이스트시큐리티가 만나 통합 엔드포인트 보안 강화 전략을 제시합니다. 최신 보안 동향과 함께 엔드포인트 보안 전략을 점검 할 수 있는 기회이오니, 아래 내용을 참고하시어 많은 관심과 참여 부탁드립니다! 이스트시큐리티 솔루션영업팀 02-3470-2980, biztec@estsecurity.com

이스트시큐리티 소식 2019. 8. 28. 11:14

WARNING — Malware Found in CamScanner Android App With 100+ Million Users 구글 플레이 스토어에서 1억 회 이상의 다운로드를 기록한 인기 있는 모바일 PDF 제작 앱, CamScanner의 무료 버전에서 악성코드가 발견됐습니다. 공격자들은 원격으로 해당 앱을 사용하는 사용자의 안드로이드 기기 및 저장된 데이터에 하이잭할 수 있는 것으로 나타났습니다. 현재 구글은 공식 플레이 스토어에서 이 앱을 제거했습니다. 사용 중인 안드로이드 기기에 해당 앱이 설치되어 있을 경우 안전을 위해 즉시 제거하시기 바랍니다. 연구원들은 CamScanner 앱이 최근 악성으로 변질되었다고 밝혔습니다. 앱 내 숨겨진 트로이목마 드로퍼 모듈은 원격 공격자들이 은밀히 기기에 ..

국내외 보안동향 2019. 8. 28. 10:28