안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 일명 비너스락커 조직이 최근 새로운 방식으로 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [이미지 1] 지방 경찰서 사칭 이메일 어제(11일)부터 지방 경찰서를 사칭한 악성 메일이 대량으로 유포되고 있습니다. 해당 메일들은 출석통지서.rar이 포함하고 있으며, 온라인 명예훼손 관련 출석통지서(향후 변경 가능)라는 제목으로 유포 중이며, 압축파일 내에는 갠드크랩 랜섬웨어가 포함되어 있습니다. 어제 저녁 이미 일부 언론사에서는 관련 내용으로 보도자료를 배포하였습니다. ▶ 경찰 사칭 메일 열어보니… "갑자기 컴퓨터가 먹통이 됐어요"▶ 경찰서 사칭 스팸메일 무차별 살포… "컴퓨터 먹통됐다"▶ 대구경찰청 "경..

악성코드 분석 리포트 2019. 2. 12. 10:11

Ursnif: Long Live the Steganography and AtomBombing! 이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다. Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다. ..

국내외 보안동향 2019. 2. 11. 13:46

안녕하세요. 이스트시큐리티입니다. 소중한 내 컴퓨터 보안을 위해 꼭 필요한 백신 프로그램, 모두 설치해서 사용하고 계실 텐데요! (혹시나 아직 설치 전이라면 지금 바로 알약을 다운로드하세요 =)컴퓨터 사용 중 백신 프로그램에서 '바이러스가 탐지되었습니다' 라는 알림이 뜨면, 악성코드를 잡았다는 안도감보다는 '내 컴퓨터 어디 손상된 거 아닌가?' '제대로 치료된 거 맞나?' 하는 불안함부터 느끼기 마련입니다. 이럴 때 한 번씩 확인해보면 좋은 알약의 '보안통계' 메뉴를 소개해드립니다. 알약을 사용하시며 악성코드 탐지 창에서 실수로 치료 안 함을 눌렀을 때, 내 PC에서 탐지된 악성코드와 감염된 파일, 치료 내역을 확인하고 싶을 때 요긴하게 활용하실 수 있으니 지금부터 함께 알아보시죠! Go Go! [1] ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 8. 17:33

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC) 입니다. ※ 관련글보기 ▶ 악성코드 감염 내용으로 사용자를 협박하여 비트코인을 요구하는 혹스(Hoax)메일 주의!▶ 국내 유포중인 혹스(Hoax) 메일, 일본에서도 유포중! ▶ 계속 진화중인 혹스(Hoax) 메일의 변종들 ▶ 불특정 다수에게 유포되고 있는 혹스(Hoax) 메일 주의! 금일(8일) 오전, 사용자를 협박하여 가상화폐를 요구하는 혹스(Hoax)메일이 대량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 한국에 유입된 실제 혹스 이메일 1 화면 [그림 2] 한국에 유입된 실제 혹스 이메일 2 화면 안녕하세요! 귀하가 아마 추측했겠지만, 제가 메시지를 보낸 것처럼 귀하의 계정 [계정@도메인.com] 이 해킹됐습니다. 저는 국제 해커 ..

악성코드 분석 리포트 2019. 2. 8. 17:26

Flaws in Popular RDP Clients Allow Malicious Servers to Reverse Hack PCs Check Point의 보안 연구원들이 오픈 소스 RDP 클라이언트와 마이크로소프트 소유의 클라이언트에서 악성 RDP 서버가 역으로 클라이언트 컴퓨터를 해킹할 수 있는 취약점 20개 이상을 발견했습니다. RDP(원격 데스크톱 프로토콜)를 사용하면 사용자들이 원격으로 컴퓨터에 연결할 수 있습니다. 이 프로토콜은 주로 기술자들이나 IT 관리자들이 네트워크 상의 다른 기기에 원격으로 연결하기 위해 사용합니다. 연구원들은 최근 가장 흔하게 사용 되는 RDP 클라이언트 3개인 FreeRDP, rdesktop, 윈도우 내장 RDP 클라이언트를 상세히 분석했으며 총 25개의 보안 결점을 ..

국내외 보안동향 2019. 2. 8. 11:44

SpeakUp Linux Backdoor targets Linux servers in East Asia and LATAM Check Point의 보안 연구원이 동아시아와 중남미 지역의 서버를 노리는 새로운 리눅스 백도어인 ‘SpeakUp’을 발견했습니다. SpeakUp의 피해자 분포 SpeakUp 백도어는 리눅스 배포판 6개의 알려진 취약점들을 악용하며, Mac 시스템을 감염시킬 수도 있습니다. 이 트로이목마는 원격 코드 실행 결점을 악용하여 배포 되며, 해커들은 초기 감염을 위해 최근 공개 된 Think PHP의 취약점 (CVE-2018-20062)을 악용합니다. 연구원들은 SpeakUp 백도어의 제작자를 온라인명 Zettabithf를 사용하는 악성코드 개발자와 연결시켰습니다.감염 된 기기들 중 대부분..

국내외 보안동향 2019. 2. 7. 13:37

1월 30일, Andrev라고 불리는 해커가 Pastebin에 자신이 LinkedIn 서버를 해킹하였으며 약 1.59억명의 사용자 정보를 유출했다고 밝혔습니다. 이러한 사실을 증명이라고 하듯, 이 해커는 100명의 사용자 정보를 공개하였는데, 여기에는 사용자 정보, 로그인 정보 등이 포함되어 있었습니다. 이번에 정보가 유출된 사용자들중에는 국제적으로 유명한 기업 CEO들도 포함되어 있는 것으로 확인되었습니다. 현재, 이 해커는 유출된 정보들에 대한 상세한 내용을 아직 공개하지 않았으며, 해당 DB를 99달러에 판매할 예정이라고 밝혔습니다. 또한 구매의사가 없는 사람들에게도 돈을 지불하면 자신이 공격을 대신해주는 서비스를 제공하겠다고 제안하고 있으며, 공격 비용은 0.012비트코인(약 41달러)라고 밝히고..

국내외 보안동향 2019. 2. 7. 11:53

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공격자가 지속적으로 새로운 도메인을 등록하여 갠드크랩 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. [그림 1] 악성 메일 공격자가 이번에는 freehaksa.com 도메인을 이용하여 랜섬웨어를 유포하였습니다. 해당 공격자는 국내에 끊임없이 갠드크랩(GandCrab) 랜섬웨어를 유포하고 있는 자로서, 하루에도 몇번씩 새로운 도메인을 등록하여 공격을 진행하고 있습니다. [그림 2] 공격자가 등록한 새로운 도메인들 확인 결과, 이번에 공격자가 사용한 freehaksa.com 도메인은 1월 25일날 등록된 도메인으로 확인되었으며, 이 공격자에 대해서는 국내 또 다른 보안업체인 안랩에서도 주의를 당부한 적이 있습니다. 이번에도 역시 기존과 유..

악성코드 분석 리포트 2019. 2. 4. 15:46