Zero-Day TP-Link SR20 Router Vulnerability Disclosed by Google Dev TP-Link SR20 스마트 홈 라우터에서 동일한 네트워크 상의 공격자가 임의 명령어를 실행하도록 허용하는 임의 코드 실행 (ACE) 제로데이 취약점이 발견되었습니다. 구글의 보안 관련 개발자인 Matthew Garrett는 TP-Link가 취약점을 제보한지 90일이 지나도 별다른 응답이 없어 이 ACE 제로데이 취약점을 공개하게 되었다고 밝혔습니다. 이 제로데이는 TL-Link 라우터가 이전부터 많은 취약점들을 포함한 것으로 알려진 “TDDP (TP-Link Device Debug Protocol)"라는 프로세스를 root 권한으로 빈번히 실행하여 발생합니다. TDDP는 두 가지 유..

국내외 보안동향 2019. 3. 29. 10:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 지난 03월 15일 안랩의 ASEC 분석팀에서는 '코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드' (2019. 03. 15) 포스팅을 통해 상세한 분석자료를 발표한 바 있습니다. 최근에 이 유형의 위협 시리즈가 주로 한국에서 발견되고 있고, 변종 유포 정황 역시 꾸준히 포착되고 있어 각별한 주의가 필요해 보입니다. 물론, 공격 벡터에 일부 차이가 있지만, 해외 보안업체를 통해 연관된 내용이 보고된 바 있는데, Paloalto Networks Unit42 에서 'New BabyShark Malware Targets U.S. National Security Think Tanks' (2019. 02. 22) 분석 내용을 공개한 바 있..

악성코드 분석 리포트 2019. 3. 28. 12:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 28일) 오전, ESRC에서는 대한민국 국세청을 사칭한 악성 이메일을 포착하였습니다. 국세청을 사칭한 만큼, 기업 회계 담당자들의 각별한 주의가 필요합니다. 금일 악성 메일을 유포한 이 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과 유사한 방식으로 악성메일을 유포하였습니다. ESRC에서는 이전에 한국어를 어눌하게 사용하여 지마켓, 한국은행, 헌법 재판소를 위장해 갠드크랩을 유포하던 조직이 이젠 기존에 갠드크랩을 유포하던 비너스락커 조직을 모방하여 갠드크랩을 유포하고 있다고 추정하고 있습니다. 공격자는 대한민국 국세청을 영문으로 직역한 National Tax Service of South Korea 이름의 발신자 명..

악성코드 분석 리포트 2019. 3. 28. 11:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 지난주부터 제조업, 대학, 병원을 가리지 않고 국내 기업에서 SMB 취약점(MS17-010)을 통한 악성코드 감염 피해가 접수되고 있어, 기업 관계자의 각별한 주의가 필요합니다. 해당 취약점은 2017년 5월 전세계를 강타했던 워너크라이(WannaCry) 랜섬웨어가 유포되었던 SMB 취약점 방식과 유사한 방법으로 유포되고 있는 중입니다. ※ 관련글 보러가기 ▶ SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 (2017.05.13) ▶ SMB 취약점의 위협은 아직 끝나지 않았다 (2017.05.24) 해당 악성코드는 가상 화폐를 채굴할 목적으로 제작되었으며, Window..

국내외 보안동향 2019. 3. 27. 17:00

Researchers: LockerGoga coding error can be exploited to prevent malicious encryption 2019년 초 제조업계를 노린 LockerGoga 랜섬웨어에서 코딩 에러가 발견되었습니다. 연구원들은 이를 이용하면 파일 암호화를 멈출 수 있을 것이라 밝혔습니다. ※ 관련글 보러가기 ▶ Altran 공격에 사용된 것으로 추정되는 LockerGoga 랜섬웨어 발견 위협 관리 회사인 Alert Logic는 블로그 포스팅을 통해 해당 악성코드가 .Ink 파일 확장자를 처리하는 방식에서 문제를 발견했습니다. 연구원들에 따르면, LockerGoga 랜섬웨어는 손상된 기기에 어떤 파일들이 있는지 확인하기 위해 시스템을 스캔합니다. 시스템을 스캔하는 중에 Lock..

국내외 보안동향 2019. 3. 27. 10:52

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다. [그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel) ■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직 ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다. 먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다. 공격 대상은 이스라엘 국가가 전액 출자한 국방산..

악성코드 분석 리포트 2019. 3. 27. 10:13

Warning: ASUS Software Update Server Hacked to Distribute Malware 대만의 거대 기술 기업인 ASUS가 생산한 컴퓨터 백만 대 이상을 손상시킨 대규모 공급망 공격(Supply Chain Attack)이 발견되었습니다. ※ 공급망 공격(Supply Chain Attack)이란?SW 공급망 공격이란 정상 소프트웨어를 배포하거나 업데이트하는 과정에 침투해, 이를 변조하거나 악성코드를 숨기는 공격 방식입니다. 해당 악성코드들은 감염 컴퓨터의 데이터를 탈취하거나, 공격자의 명령제어 서버와의 통신으로 추가적인 악성코드도 다운로드 시킬 수 있습니다. 이 해커 그룹은 지난해 2018년 5월 ~ 11월 사이 ASUS의 Live 자동 소프트웨어 업데이트 서버를 해킹하는데 ..

국내외 보안동향 2019. 3. 26. 11:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27