Multiple DoS vulnerabilities affect Linux and FreeBSD 넷플릭스의 연구원이 FreeBSD와 리눅스 커널에서 서비스 거부(DoS)를 유발할 수 있는 TCP 네트워킹 취약점을 발견했습니다. 넷플릭스의 보안 전문가인 Jonathan Looney는 리눅스 DoS 취약점 3개를 발견했는데, MSS(minimum segment size)와 TCP SACK(Selective Acknowledgement) 기능과 연관이 있습니다. SACK Panic으로 명명된 가장 심각한 취약점은 원격으로 DoS 상태를 유발해 취약한 시스템을 재부팅하는데 악용될 수 있습니다. 이 커널 패닉 결함은 최신 리눅스 커널에 영향을 줍니다. DoS 결점인 SACK Panic은 CVE-2019-11477..

국내외 보안동향 2019. 6. 19. 13:52

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다. 악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다. [그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일 공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다. 악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다. [그림 2] msngdvfadxa.vbs 코..

악성코드 분석 리포트 2019. 6. 18. 16:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다. [그림1] 구매 발주 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다. [그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집..

악성코드 분석 리포트 2019. 6. 18. 15:03

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48

Crooks exploit exposed Docker APIs to build AESDDoS botnet 사이버 범죄자들이 DevOps 툴인 Docker Engine 커뮤니티의 오픈소스 버전에 존재하는 잘못 구성된 API 설정을 악용하여 Docker 컨테이너에 침투하려 한 정황이 발견되었습니다. 공격자들은 해당 API 설정을 악용해 리눅스 봇인 AESDDoS를 실행하려 시도하고 있는 것으로 나타났습니다. 공격자들은 포트 2375에서 인터넷에 노출된 Docker API를 활발히 스캐닝하고 있으며, AESDDoS 트로이목마를 드롭하는 악성코드를 전달하는데 사용됩니다. Trend Micro는 공격자는 특정 IP 범위에 TCP SYN 패킷을 포트 2375에 보내는 방식으로 외부 스캔을 수행하고 있으며, 2375..

국내외 보안동향 2019. 6. 17. 14:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50