안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다. [그림1] 구매 발주 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다. [그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집..

악성코드 분석 리포트 2019. 6. 18. 15:03

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48

Crooks exploit exposed Docker APIs to build AESDDoS botnet 사이버 범죄자들이 DevOps 툴인 Docker Engine 커뮤니티의 오픈소스 버전에 존재하는 잘못 구성된 API 설정을 악용하여 Docker 컨테이너에 침투하려 한 정황이 발견되었습니다. 공격자들은 해당 API 설정을 악용해 리눅스 봇인 AESDDoS를 실행하려 시도하고 있는 것으로 나타났습니다. 공격자들은 포트 2375에서 인터넷에 노출된 Docker API를 활발히 스캐닝하고 있으며, AESDDoS 트로이목마를 드롭하는 악성코드를 전달하는데 사용됩니다. Trend Micro는 공격자는 특정 IP 범위에 TCP SYN 패킷을 포트 2375에 보내는 방식으로 외부 스캔을 수행하고 있으며, 2375..

국내외 보안동향 2019. 6. 17. 14:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50

Cisco IOS XE Software Receives Fix Against High-Severity Flaw Cisco가 심각도 높은 CSRF(cross-site request forgery) 취약점을 수정하기 위해 IOS XE 소프트웨어의 업데이트 버전을 공개했습니다. 데모 익스플로잇 코드 또한 찾아볼 수 있었습니다. 해커가 CSRF 취약점을 악용하면 피해자가 인증이 완료된 경우, 웹 페이지나 앱에서 원치 않은 행동을 실행하도록 강제할 수 있는 것으로 나타났습니다. 이 공격은 악성 링크를 통해 배포될 수 있으며, 로그인된 사용자와 동일한 권한으로 실행됩니다. 많은 Cisco IOS XE 버전들이 영향받아 CVE-2019-1904로 등록된 이 취약점은 Cisco IOS XE 소프트웨어 구 버전들에 영향..

국내외 보안동향 2019. 6. 14. 10:37

[6월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [C★J★통★운]주소정보 불분명하여 물건 배송이 안돼요. 주소 재확2 [Web발신][-CJ대한], 06/12(등기택배 회송처리) 재확인바람 주소지확인3 [우체국] 고객택배 주소가 이상합니다. 올바른 주소 수정4 [Web발신][KGB택배]OOO택배 거주지 주소가 명확하지 않습니다.변경요망. 출처 : 알약M기간 : 2019년 6월 10일 ~ 2019년 6월 14일

안전한 PC&모바일 세상/스미싱 알림 2019. 6. 14. 09:02