안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 FYI 제목으로 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. FYI는 "For your information"의 줄임말로, "참고하세요"라는 뜻을 가지고 있습니다. 보편적으로 외국에서 업무 관련하여 이메일 전달 시 많이 사용하고 있는 단어이지만 국내에서는 생소한 단어일 수 있습니다. 이번에 발견된 메일에서는 BL Copy.html, Packing List.html 같이 선하증권 또는 포장명세서로 위장된 첨부 파일이 확인되었습니다. [그림1] FYI 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 [Microsoft Excel 2016 로그인 요청 화면]이 보여지게 됩..

악성코드 분석 리포트 2019. 5. 31. 14:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 31일), 사용자의 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일이 유포되고 있습니다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고, 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체입니다. 또한 ESRC에서는 이번에 포착된 피싱 메일은 신종 랜섬웨어 'Sodinokibi'를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인되었습니다. [그림 1] 스팸하우스 블랙리스트 피싱 메일 화면 금일 발견된 피싱 메일은 다양한 문구의 메일 제목으로 유포되었으며, 사용자의 메일이 스팸처리되었다는 내용을 담고 있습니다. [그림 2] 다양한..

악성코드 분석 리포트 2019. 5. 31. 14:08

[5월 다섯째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [CJ통-운]주소정보 미상이라 택배 배송 불가 주소 확인2 [Web발신] 끊임없이 기대하는 그녀와의 스침,소개팅 사이트에서 그녀 찾기!3 [Web발신] 신사들 원하는대로 해봐요 대화 하고 장소 시간 결정했으면 해요4 cj대한통운 주소오류배송 주소 다시확인 출처 : 알약M기간 : 2019년 5월 27일 ~ 2019년 5월 31일

안전한 PC&모바일 세상/스미싱 알림 2019. 5. 31. 09:02

Unpatched Flaw Affects All Docker Versions, Exploits Ready 모든 Docker 버전에서 공격자가 악용할 경우, 호스트 시스템 내 모든 파일을 읽고 쓸 수 있게 되는 레이스 컨디션(Race Condition) 결함이 발견되었습니다. 이 결함은 CVE-2018-15664로 등록되었으며, PoC 코드 또한 공개된 상태입니다. 해당 결함은 리소스 확인이 완료된 이후 할당된 프로그램이 해당 리소스를 사용하기 전, 리소스의 경로를 수정할 수 있는 기회를 해커들에게 제공합니다. 이는 TOCTOU(Time to Check Time to Use) 버그로 알려져 있습니다. 호스트 파일 액세스 이 취약점은 기본 TOCTOU 공격에 취약한 FollowSymlinkInScope 함수..

국내외 보안동향 2019. 5. 30. 14:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 30일), 국세청을 사칭하고 '송장'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있어 세금계산서 담당자 및 기업의 회계 담당자분들의 주의가 필요합니다. 해당 악성 메일에는 국세청 홈택스에서 보낸 것처럼 "국세청 전자[세금]계산서" 발급 안내 이미지를 포함하고 있으며, 첨부파일 또한 "eTaxInvoice"라는 이름으로 사용자가 별다른 의심 없이 첨부파일을 다운로드할 가능성이 높습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직이 유포하는 악성 메일 내용이 더욱 정교해지고 있습니다. [그림 1] 국세청 인보이스를 사칭한 악성 피싱 메일 이번에 발견된 악..

악성코드 분석 리포트 2019. 5. 30. 10:36

Siemens Healthineers medical products vulnerable to Windows BlueKeep flaw 지멘스 헬시니어스(Siemens Healthineers)에서 제작한 의료기기가 최근 패치된 윈도우 BlueKeep 결함(CVE-2019-0708)에 취약한 것으로 드러났습니다. BlueKeep 이슈는 원격 데스크탑 서비스(RDS)에 존재하는 원격 코드 실행 취약점입니다. 이 취약점은 승인되지 않은 공격자가 RDP를 통해 타깃 시스템에 연결하고 특수하게 제작한 요청을 보내어 악용할 수 있습니다. 마이크로소프트는 웜 기능을 갖춘 악성코드가 이 취약점을 악용하는 것이 가능하다고 설명했습니다. 이 취약점은 사용자와 상호작용 없이도 악용이 가능하고, 타깃 네트워크에 악성코드를 확산시..

국내외 보안동향 2019. 5. 29. 14:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 금일 오전 경찰청 사이버 안전국을 사칭한 스피어 피싱(Spear Phishing) 공격이 포착되었고, 이번 APT 공격도 김수키(Kimsuky) 조직이 연루된 것으로 분석됐습니다. ESRC는 이 공격을 조사하는 과정중에 굉장히 흥미로운 점을 확인할 수 있었습니다. [그림 1] 사이버 안전국 사칭한 해킹 이메일 화면 이 APT 공격이 금일 공개한 '[긴급] 김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 블로그 포스팅의 연장선에 있다는 것이 확인되었기 때문입니다. 2018-02-12 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형 2018-05-28 판문점 선언 관련 내용의 문서..

악성코드 분석 리포트 2019. 5. 28. 16:43