안녕하세요? 이스트시큐리티 시큐리티대응센터 (이하 ESRC) 입니다. 2019년 04월 01일 【최근 한반도 관련 주요국 동향】이라는 내용과 【3.17 미국의 편타곤 비밀 국가안보회의】 등의 내용으로 스피어 피싱(Spear Phishing) 공격이 수행되고 있음을 확인했습니다. 파일명은 다르지만, 두개의 파일은 같은 공격기법과 내용을 담고 있으며, 미국 국방부 건물인 펜타곤(PENTAGON) 표현에서는 '편타곤'으로 일부 오타가 존재합니다. 이번 지능형지속위협(APT) 공격을 받은 곳들은 주로 외교·안보·통일분야 및 대북/탈북단체 등에서 활동하는 곳들 입니다. ESRC에서는 지난 3월 21일 워터링 홀(Watering Hole) 공격 '오퍼레이션 로우 킥(Operation Low Kick)'을 보고한 바..

악성코드 분석 리포트 2019. 4. 3. 11:37

Apache Bug Lets Normal Users Gain Root Access Via Scripts Apache HTTP 서버에서 심각도 ‘중요함’으로 분류된 권한 상승 취약점이 발견되어 Apache httpd 2.4.39 버전에서 수정되었습니다. 이 취약점은 스크립트를 작성 및 실행할 수 있는 권한을 가진 사용자들이 유닉스 시스템에서 루트 권한을 얻도록 허용했습니다. CVE-2019-0211로 등록된 이 취약점은 2.4.17부터 2.4.38 버전까지 모든 Apache HTTP Server 릴리즈 버전에 영향을 미칩니다. 그리고 Scoreboard 파일 조작을 통해 임의 코드를 실행 가능하도록 합니다. Apache MPM(Multi-Processing Module) 이벤트, worker 또는 pref..

국내외 보안동향 2019. 4. 3. 09:15

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 2019.03.30~2019.04.01에 걸쳐 대한민국 국세청 및 경찰청을 사칭한 악성 이메일을 포착하였습니다. [그림 1] 국세청 및 경찰청을 사칭한 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '대한민국 국세청', '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는 것이 특징인 조직이었습니다. 해당 조직의 eml 파일 내부 분석 결과, 'reply-to' 부분이 공통적으로 존재한다는 고유 특징을 발견했습니다. [그림 2] eml 파일 내부의..

악성코드 분석 리포트 2019. 4. 2. 17:01

vxCrypter Is the First Ransomware to Delete Duplicate Files 피해자의 데이터를 암호화할 뿐 아니라, 중복 파일을 삭제해 컴퓨터를 깔끔하게 정리하는 최초의 랜섬웨어인 vxCryptor가 발견되었습니다. 지난주 발견된 이 새로운 랜섬웨어는 현재 개발 단계인 것으로 보입니다. 이는 .NET 기반의 랜섬웨어이며, 아직까지 완성된 적이 없는 'vxLock'라는 오래된 랜섬웨어를 기반으로 만들어졌습니다. ※ vxLock 랜섬웨어란? AES + RSA 알고리즘을 이용하여 사용자 데이터를 암호화하는 랜섬웨어로 vxCrypt로도 불린다. 암호화가 완료되면 .vxLock 확장자가 추가되며, 아직 개발 중인 랜섬웨어이다. 이 랜섬웨어를 발견한 연구원은, 이 랜섬웨어를 처음 테스..

국내외 보안동향 2019. 4. 2. 11:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 얼마전 2019년 03월 20일 "로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)" 리포트를 통해 '금성121(Geumseong121)' 조직이 HWP 문서기반 이력서를 사칭해 수행한 APT 공격 사례를 공개했습니다. 그리고 지난 01월 23일에는 "홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인" 제목으로 이들이 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황도 포착한 바 있습니다. ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고 있으며, 그동안 알려지지 않았던 몇 가지 공격..

악성코드 분석 리포트 2019. 4. 2. 09:29

Unpatched Zero-Days in Microsoft Edge and IE Browsers Disclosed Publicly 한 보안 연구원이 패치 되지 않은 마이크로소프트의 웹 브라우저 제로데이 취약점 2개 및 PoC 익스플로잇을 공개했습니다. 그는 이 취약점을 발견 후 회사에 제보했으나 응답을 받지 못해 이를 공개한다고 밝혔습니다. 공개한 취약점 2개 중 하나는 마이크로소프트 IE(Internet Explorer)의 최신 버전에서 발견되었으며, 다른 하나는 최신 엣지(Edge) 브라우저에 영향을 미칩니다. 공개된 두 취약점 모두 원격 공격자가 피해자 웹 브라우저의 동일 출처 정책(SOP: Same Origin Policy)을 우회하도록 허용합니다. 동일 출처 정책(SOP)는 최신 브라우저에 구현..

국내외 보안동향 2019. 4. 1. 10:49

[3월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [Web발신][CJ대한통운]주소가 불명해서 배달이 되지 않습니다 수정해주세요 2 [Web발신][CJ대한통운]택배를 이미 보냈으니 새주소를 확인해 주십시오 3 [Web발신][CJ대한통운]택배 주소가 맞지 않아요 본인 확인 4 [-CJ대한],고객님 등기소포 수취불가상태입니다.주소지확인 출처 : 알약M 기간 : 2019년 3월 25일 ~ 2019년 3월 29일

안전한 PC&모바일 세상/스미싱 알림 2019. 3. 29. 14:20

Zero-Day TP-Link SR20 Router Vulnerability Disclosed by Google Dev TP-Link SR20 스마트 홈 라우터에서 동일한 네트워크 상의 공격자가 임의 명령어를 실행하도록 허용하는 임의 코드 실행 (ACE) 제로데이 취약점이 발견되었습니다. 구글의 보안 관련 개발자인 Matthew Garrett는 TP-Link가 취약점을 제보한지 90일이 지나도 별다른 응답이 없어 이 ACE 제로데이 취약점을 공개하게 되었다고 밝혔습니다. 이 제로데이는 TL-Link 라우터가 이전부터 많은 취약점들을 포함한 것으로 알려진 “TDDP (TP-Link Device Debug Protocol)"라는 프로세스를 root 권한으로 빈번히 실행하여 발생합니다. TDDP는 두 가지 유..

국내외 보안동향 2019. 3. 29. 10:14