New Godlua Malware Evades Traffic Monitoring via DNS over HTTPS Qihoo 360의 연구원들이 리눅스, 윈도우 사용자를 노리며 DoH(DNS-over-HTTPS)를 통해 통신 채널을 암호화하는 Lua 기반 백도어 악성코드를 발견했습니다. Godlua로 명명된 이 악성코드는 DoH를 사용하여 C&C 서버, 감염된 기기, 공격자가 제어하는 서버 사이의 통신 채널을 HTTPS 요청 내 캡슐화함으로써 연구원들이 트래픽을 분석하는 것을 막습니다. Godlua의 메인 기능은 DDoS 봇으로 보이며, 운영자는 이미 이를 이용하여 liuxiaobei[.]com에 대해 HTTP 플러드 공격을 실행한 것으로 나타났습니다. 지금까지 발견된 Godlua 백도어의 샘플은 2개입..

국내외 보안동향 2019. 7. 5. 10:56

[7월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한 통운]소포 주문 분실, 본인 확인2 고객님 등기소포 반송처리중(내용증명 안내 확인바람) 3 [Web발신] 꽃처럼예쁘게}잘살겠습니다일시:8월11일오후12시장소:모닝글로리청첩장4 [CJ대한 통운]소포 주문 분실, 본인 확인 출처 : 알약M기간 : 2019년 7월 1일 ~ 2019년 7월 5일

안전한 PC&모바일 세상/스미싱 알림 2019. 7. 5. 09:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 비트코인을 비롯한 암호화폐의 가격이 전반적으로 상승세에 있습니다. 이런 암호화폐의 가격 상승에 발맞추어 관련 악성코드가 증가 추세를 보이고 있습니다. 모바일 기기를 타겟으로 하는 암호화폐 악성앱은 크게 3가지로 분류할 수 있습니다. 첫번째는 클리퍼로 피해자의 클립보드를 감시하다가 암호화폐의 지갑주소가 감지 되면 이를 공격자의 지갑주소로 변경하는 공격을 수행 합니다. 두번째는 월렛으로 위장하는 악성앱입니다. 월렛은 암호화폐를 저장하는 지갑이며 악성앱은 이런 월렛으로 위장하여 유포됩니다. 월렛으로 위장한 악성앱을 설치한 피해자가 자신의 지갑 주소 생성을 시도하면 공격자의 지갑 주소를 반환합니다. 이를 모르는 피해자가 공격자의 지갑으로 암..

악성코드 분석 리포트 2019. 7. 4. 18:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 7월 3일) 개인정보 수집을 위해 서울중앙지방검찰청 사이트로 위장 된 피싱사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. 이번에 발견 된 피싱사이트는 접속 한 사용자가 자신의 사건을 조회할 때 필요한 개인정보를 탈취하기 위해 제작되었습니다. * 서울중앙지방검찰청이란? 서울중앙지방법원에 대응하여 각종 범죄에 대한 수사와 집행 같은 행정적인 지원업무를 도와주는 특별지방행정기관입니다. 접속한 사용자가 "나의 사건 조회"를 클릭하게 되면 개인정보 탈취를 위해 제작 된 다른 사이트로 이동하게 됩니다. [그림 1] 서울중앙지방검찰청 피싱 사이트 화면 사용자의 실명확인을 위해 이름과 주민번호를 입력하면 피싱 사이트 제작자가 미리 만둘..

악성코드 분석 리포트 2019. 7. 4. 15:05

China installs a surveillance app on tourists’ phones while crossing in the Xinjiang 키르기스스탄에서 중국 신장으로 입국할 계획이 있으면 주의를 해야겠습니다. 중국 국경 경비대는 키르기스스탄에서 신장 지역으로 입국하는 관광객들의 모바일 기기에 은밀히 감시 소프트웨어를 설치하는 것으로 드러났습니다. 이 소식은 New York Times, the Guardian, Süddeutsche Zeitung 및 기타 매체의 공동 조사를 통해 밝혀졌습니다. 이 감시 소프트웨어의 운영자는 피해자들을 염탐하고 이메일, 텍스트 메시지, 연락처, 캘린더 항목, 전화 기록에 접근할 수 있습니다. 최근 국경을 넘었으며 중국 정부의 보복을 피하기 위해 익명을 요구한..

국내외 보안동향 2019. 7. 4. 10:55

After 2 years under the radars, Ratsnif emerges in OceanLotus ops 보안 회사인 Cylance의 전문가들이 OceanLotus APT 그룹의 사이버 간첩 작전에 사용된 새로운 RAT(Remote Access Trojans)인 Ratsnif를 발견했습니다. APT32, Cobalt Kitty라고도 알려진 OceanLotus APT 그룹은 최소 2013년부터 활동해온 국가의 후원을 받는 그룹입니다. 해커는 여러 분야의 조직들을 노렸으며 국외 정부, 반체제 인사 및 언론인들을 공격했습니다. FireEye의 연구원들은 최소 2014년부터 APT32가 베트남의 제조, 소비자 제품, 접대 분야에 관심을 두고 외국 기업들을 노리는 것을 발견했습니다. APT32는 국외..

국내외 보안동향 2019. 7. 3. 10:56

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다. 금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다. '라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다. 이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 ..

악성코드 분석 리포트 2019. 7. 2. 21:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 07월 02일 안보관련 연구위원이 작성한 문서처럼 사칭해 APT(지능형지속위협) 공격이 수행된 정황을 포착했습니다. 공격자는 한국의 특정 연구원 안보통일센터로 사칭해 스피어피싱(Spear Phishing) 공격을 시도했으며, 이메일에 악성 문서를 압축 첨부하여 전송하였습니다. 압축 파일 내부에는 3개의 HWP 문서가 포함되어 있었고, 1개의 문서가 악성 기능을 수행합니다. [악성파일]- 190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp [정상파일]- 190701대북동향 보고.hwp- 190702대북동향 보고.hwp ESRC는 이 공격의 배후가 특정 정부의 후원을 받고 있는 해킹조직 일명 '금성12..

악성코드 분석 리포트 2019. 7. 2. 19:30