New Strain of Olympic Destroyer Droppers 지난 몇 주 동안, 우리는 악명 높은 올림픽 디스트로이어(Olympic Destroyer) 공격의 배후에 있는 APT 그룹인 Hades의 새로운 활동을 발견했습니다. 게다가 새로운 공격은 이전 공격들과 많은 부분을 공유하지만, 해당 그룹이 진화했다는 것을 알 수 있는 중요한 변화를 목격할 수 있었습니다. 우리는 발견한 샘플을 통해 이 그룹이 다양한 분야를 연구했으며 연구원들이 공격을 탐지하기 어렵도록 만들기 위해 노력하고 있다는 것을 알 수 있었습니다. 시작 2018년 한국에서 개최된 동계 올림픽을 노린 사이버 공격은 짧은 시간 동안 이 행사의 IT 인프라를 방해했습니다. 하지만 이는 많은 언론의 헤드라인을 장식했으며, 보안 커뮤니..

국내외 보안동향 2018. 11. 16. 18:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ Trojan.Agent.Emotet 악성코드 분석 보고서 ▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요 ▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의 ▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성 메일은 ‘INVOICE #00U9404’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of your latest invoice’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 이용자가 첨부 파일 ‘Invoic..

악성코드 분석 리포트 2018. 11. 16. 17:04

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다. 지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다. 그리고 0..

악성코드 분석 리포트 2018. 11. 16. 15:45

[11월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다 2 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소: 3 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경 4 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오. 출처 : 알약M기간 : 2018년 11월 12일 ~ 11월 16일

안전한 PC&모바일 세상/스미싱 알림 2018. 11. 16. 10:46

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다. 추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다. [그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면 한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다. 해당 위협그룹은 기존 비..

악성코드 분석 리포트 2018. 11. 15. 18:31

안녕하세요. 이스트시큐리티입니다. 알약M 2.1.0.3 최신 버전 업데이트 후, 갑자기 생겨난 빠른 실행바에 놀라셨나요? 빠른 실행바가 필요하지 않아 OFF로 설정을 해두었는데, 다시 생겨난 빠른 실행바가 반갑지만은 않으셨을 텐데요ㅠㅠ 알약M 최신 버전 업데이트 이후, 왜 빠른 실행바가 다시 나타났는지 안내해 드리겠습니다. Android OS 8.0 이상의 알약M 사용자에게 안내해 드립니다! 그 전에, 알약의 기본 동작에 대해 잠시 말씀드릴 필요가 있는데요! 알약은 실시간으로 악성코드를 탐지하기 위해 필요에 따라 스마트폰의 백그라운드에서도 동작하고 있습니다. 그런데, 구글에서 Android 8.0부터 백그라운드 실행 제한 정책을 추가했습니다. 백그라운드 실행 제한 정책이란, 안드로이드의 백그라운드에서 실..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 11. 15. 17:28

7 New Meltdown and Spectre-type CPU Flaws Affect Intel, AMD, ARM CPUs 올해 초, 매우 민감한 정보에 접근하기 위해 추측 실행 공격이 쉽게 악용될 수 있다는 것을 입증한, 수 많은 최신 프로세스들에 영향을 미친 Meltdown과 Spectre 취약점이 발견 되었습니다. 이후 Spectre-NG, SpectreRSB, Spectre 1.1, Spectre1.2, TLBleed, Lazy FP, NetSpectre, Foreshadow등 추측 실행 공격의 수 많은 변종들이 발견 되었습니다. 이에 영향을 받은 제조사들은 수시로 패치를 발행했습니다. 오리지널 Meltdown과 Spectre 취약점을 발견한 사이버 보안 연구원 팀이 새로운 일시적 실행 공격(t..

국내외 보안동향 2018. 11. 15. 16:13

2018년 11월, 화이트 해커들은 9월에 패치되었던 Adobe ColdFusion 서버 임의 파일 업로드 취약점(CVE-2018-15961)의 이용 흔적을 발견했으며, 해커들은 해당 취약점을 악용하여 jsp 스크립트 파일을 업로드하여 원격에서 명령을 실행하였다고 밝혔습니다. 또한 테스트를 진행해본 결과, 악성코드 스크립트들은 모두 system 권한으로 실행되며, 이로서 서버가 완전히 해커에게 장악되며 봇넷이나 마이닝에 악용될 가능성도 존재합니다. Adobe ColdFusion에서는 몇 년 동안 끊임없이 고위험 취약점들이 발생하였으며, 이 취약점들은 모두 역직렬화 혹은 임의 명령 실행 취약점들이였습니다. 이번 패치에 대해 전 세계 사용자들의 관심이 쏠리고 있으며, 전체 프로세스에 대한 보안 수준 향상에 ..

국내외 보안동향 2018. 11. 15. 10:15