[10월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 11월달 교통위반 단속조회 2 [Web발신] ♡꽃처럼예쁘게♡잘살겠습니다일시:10월20일 오후2시장소:더브릴리에청첩장 출처 : 알약M기간 : 2018년 10월 01일 ~ 10월 05일

안전한 PC&모바일 세상/스미싱 알림 2018. 10. 5. 16:39

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 실제 기업명을 사칭한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ 암호화된 doc 파일이 포함된 악성 메일 유포 주의▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘두산의 새로운 가격 문의’ 라는 제목으로 메일 본문에는 ‘상기 공사 관련 귀사 견적 의뢰 드립니다.’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 악성 메일에 첨부된 파일 ‘Technip FMC Project - EBSM PJT.rar’ 에는 실행 파일 있습니다. [그림 2] 첨부파일 ..

악성코드 분석 리포트 2018. 10. 5. 16:35

Chinese Spying Chips Found Hidden On Servers Used By US Companies 역대 최고 규모의 기업 스파잉 및 하드웨어 해킹 프로그램을 사용한 것으로 보이는 공급망 공격에 대한 세부 내용이 공개 되었습니다. Bloomberg에서 금일 공개 된 꽤 긴 보고서에 따르면, 쌀알 한 톨 만한 아주 작은 감시 칩이 애플과 아마존을 포함한 미국 회사 30곳의 서버에 숨겨진 것이 발견 되었습니다. 이 악성 칩은 미국 회사인 Super Micro에서 설계한 오리지널 서버 마더보드의 일부는 아니었으나, 중국의 제조 과정에서 삽입 되었습니다. 미국이 3년간 비밀리에 진행한 조사에 따르면, 중국의 정부 지원을 받는 그룹이 공급망에 침투해 마더보드에 아주 작은 감시 칩을 설치했으며 이..

국내외 보안동향 2018. 10. 5. 16:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab)의 변종이 몇 일 동안 꾸준히 발견되고 있는 가운데 갠드크랩(GandCrab) v5.0.4가 또 한번 발견되었습니다. ▶ GandCrab v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해▶ GandCrab 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 GandCrab v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 두 개를 드롭합니다. 드롭된 이미지 파일은 실제로 하는 역할은 없으며, 이번 갠드크랩 랜섬웨어 변종이 공격 타겟으로 삼고 있는 인물로 추정됩니다. [그림 1] 드롭되는 이미지 드롭되는 이미지는 실제로..

악성코드 분석 리포트 2018. 10. 4. 17:41

Bank Servers Hacked to Trick ATMs into Spitting Out Millions in Cash US-CERT가 미 국토안보부, FBI, 재무부와 함께 히든 코브라로 알려진 북한의 APT 해킹 그룹의 ATM 해킹 공격에 대해 경고했습니다. 라자루스, 평화의 수호자라고도 알려진 히든코브라는 북한 정부의 지원을 받는 것으로 추측 되고 있으며 전 세계 다수 언론사, 항공 우주, 금융, 핵심 인프라 분야를 공격했습니다. FBI, 미 국토안보부 및 재무부는 새로운 사이버 공격인 “FASTCash”에 대한 세부 정보를 공개했습니다. 이는 히든 코브라가 ATM에서 돈을 훔치기 위해 최소 2016년부터 은행 서버를 해킹하는데 사용되었습니다 ATM이 현금을 뱉어 내도록 속이는 FASTCash ..

국내외 보안동향 2018. 10. 4. 17:01

GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers 악성페이지를 통해 사용자들을 해킹하기 위해 이미 10만대 이상의 홈 라우터들을 하이잭하고, 이들의 DNS 세팅을 변경시킨 현재 진행 중인 악성코드 캠페인을 중국의 사이버 보안 연구원들이 발견했습니다. GhostDNS라 명명 된 이 캠페인은 악명 높은 DNSChanger 악성코드와 꽤 유사합니다. 공격자들은 감염 된 기기에서 DNS 서버 설정을 변경하여 사용자의 인터넷 트래픽을 악성 서버로 라우팅 하고 민감 정보를 훔칩니다. Qihoo 360의 NetLab에서 발행한 새로운 보고서에 따르면, 일반적인 DNSChanger 캠페인과 같이 GhostDNS도 취약한 패스워드를 사용하거나 패스워드가 걸려..

국내외 보안동향 2018. 10. 2. 16:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 암호화된 doc 파일이 포함된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘Application’ 이라는 제목으로 메일 본문에는 Vicky Resume.doc파일을 열기 위한 패스워드가 있습니다. [그림 1] 수신된 메일 첨부된 doc 파일을 클릭하면 아래와 같이 패스워드 입력을 요구하는 창이 뜹니다. [그림 2] 패스워드 입력을 요구하는 창 패스워드를 입력한 후 본문 내용을 확인하면 아래와 같이 매크로 활성화를 유도합니다. ..

악성코드 분석 리포트 2018. 10. 1. 19:53

갠드크랩(GandCrab) v5.0이 발견된지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다. GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다. 예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다. [그림 1] 조건에 따른 인젝션 대상 프로세스 다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다. [그림 2] ‘wermgr.exe’ 인젝션 코드 일부 인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한..

악성코드 분석 리포트 2018. 10. 1. 18:58