Shamoon Disk-Wiping Malware Re-emerges with Two New Variants 데이터 파괴형 악성코드인 Shamoon의 샘플 2개가 실제 공격에서 발견 되었습니다. 이는 Shamoon이 활동을 중지한지 약 2년만입니다. Shamoon은 2012년 사우디의 아람코(Aramco) 석유 생산 회사를 노린 공격에서 처음 발견되었습니다. 당시 이 악성코드는 아람코의 컴퓨터 시스템 35,000대 이상의 데이터를 삭제했습니다. 4년 후, 이는 2017년 1월까지 지속 된 동일한 지역의 민간 조직을 노린 공격에서 또 다시 발견 되었습니다. 이전 트리거 날짜가 포함 된 샘플 구글의 모회사인 Alphabet Inc.의 Chronicle 연구팀이 Bleeping Computer에 보낸 보고서에..

국내외 보안동향 2018. 12. 14. 14:53

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 저희는 대한민국을 주무대로 활동하는 사이버 위협그룹의 활동반경을 집중 모니터링하고 있으며, 최근 몇 개월사이 가장 활발한 움직임이 감지되고 있는 조직에 주목해 위협 인텔리전스 기반 대응을 강화하고 있습니다. 이들이 사용하고 있는 침해지표 IoC 들은 A.l(인공지능) 기반 악성코드 위협대응 솔루션 '쓰렛인사이드(Threat Inside)'를 통해 제공되고 있습니다. 대표적인 한국대상 위협 행위자(Threat Actor)들 가운데에서도 금전적인 수익을 비지니스 모델로 유지하고 있는 것은 단연 독보적으로 비너스락커(VenusLocker) 조직을 꼽을 수 있습니다. 2016년 비너스락커 조직의 태동..

악성코드 분석 리포트 2018. 12. 13. 09:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 영수증이나 배송관련 메일로 위장하여 유포되고 있는 피싱 메일들이 끊임없이 발견되고 있는 가운데, 최근 독특한 스타일의 피싱메일이 발견되었습니다. ※ 관련글 보기 ▶ 계정 보안으로 위장한 국내 포털 피싱 메일 주의!!▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의▶ 해외 배송장으로 위장한 국내 포털 피싱 메일 주의!!▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 피싱 메일은 영수증 메일을 위장하고 있습니다. 해당 ..

악성코드 분석 리포트 2018. 12. 12. 14:26

Bug in Google+ API Puts at Risk Privacy of over 52 Million Users 5,250만 구글 플러스 사용자의 비공개 정보가 데이터 열람 권한을 요청한 앱 개발자에게 노출 되었습니다. 해당 정보는 사용자가 비공개로 유지하도록 설정한 데이터입니다. 이 비공개 정보는 지난 11월에 6일간 노출 되었으며, 정보 제공자가 동의한 프로필 데이터에 접근하도록 만들어진 Google + People의 API의 버그로 인해 발생했습니다. 사용자가 앱에 제공하지 않겠다고 선택한 개인 데이터를 앱이 프로필 정보에 접근하도록 허용한 프로필과 공유 되었을 경우, 이 정보도 노출 되었습니다. 구글은 아무런 피해가 없었다 밝혀 구글은 루틴 테스팅 프로시져를 실행하던 중 이 프라이버시 침해 취..

국내외 보안동향 2018. 12. 12. 10:34

Satan Ransomware Variant Exploits 10 Server-Side Flaws 2년 전 처음 등장한 랜섬웨어의 새 버전이 윈도우와 리눅스 서버 플랫폼의 취약점 10개를 악용하여 확산될 수 있는 것으로 나타났습니다. 이 새로운 악성코드의 이름은 “Lucky”이며, Satan의 변종입니다. Satan은 서비스형 랜섬웨어(RaaS)의 형태로2017년 1월 출시 되었습니다. Satan과 마찬가지로, Lucky 또한 행동 및 사람의 조작 없이도 스스로 확산될 수 있다는 점이 웜과 유사합니다. 보안 업체인 NSFocus는 지난 11월 말 금융 서비스를 이용하는 고객들의 시스템에서 이 변종을 발견했으며, 전 세계적으로 광범위한 감염을 일으킬 수 있다고 설명했습니다. 이 악성코드는 Windows S..

국내외 보안동향 2018. 12. 12. 09:30