히든비어(Hidden Beer) 랜섬웨어가 국내로 유입된 것이 확인되었습니다. ※ 관련글보기 ▶ 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장▶ KimcilWare 랜섬웨어의 새로운 타깃이 된 Magento▶ 오픈소스 '교육용' 코드를 악용하는 Magic 랜섬웨어 발견 히든비어(Hidden Beer)는 교육용 목적으로 만든 오픈소스 프로젝트 히든티어(Hidden Tear)기반으로 제작된 랜섬웨어로, 원본 소스가 2015년 GitHub에 게시된 이후 교육용 목적으로 만들어진 이 오픈소스 제작툴을 공격자들이 다양한 형태로 커스터마이징하여 사용되고 있습니다. 히든티어 기반 랜섬웨어는 2018년 현재까지도 제작 및 유포되고 있는 상황입니다. [그림 1] 히든비어(Hidden Beer) 랜섬..

악성코드 분석 리포트 2018. 10. 25. 09:00

日本など14カ国の大学を狙う大規模攻撃 - 論文DB装うフィッシングで知的財産を標的に 이란이 관련된 것으로 보이는 공격그룹 ‘COBALT DICKENS’이 일본을 비롯하여 여러 국가의 교육기관에 대해서 피싱공격을 전개하고 있다는 사실이 밝혀졌습니다. 최근 보안기업인 Secureworks가 대학의 로그인 페이지를 위장하고 있는 피싱사이트를 확인했으며, 공격에 사용된 IP주소에 대해 조사한 결과 인증정보 탈취를 목적으로 하는 대규모 공격 캠페인이었다고 밝혔습니다. 해당 악성 IP 주소에서 총 16건의 도메인을 악용하며, 이 도메인들은 일본을 비롯한 미국, 캐나다, 영국, 스위스, 터키, 이스라엘, 오스트레일리아, 중국 등 적어도 14개국의 76개 대학, 300개 이상의 사이트를 위장하고 있습니다. 이 피싱 사이트들..

국내외 보안동향 2018. 10. 24. 17:15

사용자 계정 정보를 탈취하는 네이버 피싱 사이트가 발견되어 사용자들의 주의가 필요합니다. 해당 피싱 사이트는 네이버 카페에 자극적인 문구로 유포되며 사용자들의 클릭을 유도합니다. [그림 1] 자극적인 문구의 피싱사이트 유포 게시물 자극적인 문구에는 구글 단축 url로 링크가 걸려있으며, 사용자가 해당 링크를 클릭 시 음란 동영상 재생 화면으로 위장한 피싱 사이트로 연결됩니다. [그림 2] 동영상 재생 화면으로 위장한 피싱 사이트 사용자가 동영상을 재생하기 위하여 재생 버튼을 클릭하면, 연령확인이 필요한 서비스라는 문구와 함께 네이버 계정 정보를 요구합니다. [그림 3] 네이버 피싱 사이트 만약 누군가 음란 동영상을 보기 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 해커에게 넘어가게 ..

악성코드 분석 리포트 2018. 10. 24. 15:34

10월 중순, D-Link 라우터에서 임의파일 다운로드가 가능한 취약점이 발견되었습니다. 해당 취약점은 공격자가 권한이 없는 상황에서 /uir 페이지에서 원격으로 임의의 파일을 내려받을 수 있도록 허용합니다. 이렇게 다운로드가 가능한 파일들 중에는 민감한 파일（/etc/passwd등）및 비밀번호를 평문으로 저장한 파일(/tmp/XXX/0）등이 포함되어 있습니다. 공격자들은 이렇게 획득한 파일들을 이용하여 IoT 기기들을 채굴에 악용하거나 봇넷으로 만들 수 있습니다. 이번 취약점은 CVE-2017-6190 취약점 패치 과정에서 발생한 취약점으로 인해 발생합니다. 당시 취약점이 공개된 제품에 대해서만 패치를 진행하였고 공개되지 않은 제품에 대해서는 어떠한 조사도 이루어 지지 않았으며, 이로 인하여 해당 취약..

국내외 보안동향 2018. 10. 24. 14:26

이스트시큐리티의 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 수년간 연속성이 유지되던 APT 징후가 일정 기간 포착되지 않을 경우, 위협그룹이 새로운 침투를 준비하고 있거나 최신 공격 기술개발에 집중하고 있는 단계일 가능성이 있습니다. 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 널리 알려져 있으며, 이미 유사한 공격 사례가 지속적으로 보고되고 있습니다. ESRC에서는 금년에 국내외에서 포착된 여러 건의 작전을 연속시리즈로 공개한 바 있으며, 공격에 사용한 익스포트 함수, 파일명 등의 키워드를 활용해 '작전명 배틀 크루저(Operatio..

악성코드 분석 리포트 2018. 10. 23. 23:00

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한국어로 된 이미지로 사용자 PC화면을 변경하는 크라켄 랜섬웨어 (KrakenCryptor) v.2.0.6과 v2.0.7이 발견되어 이용자들의 주의를 당부드립니다. ‘KrakenCryptor’ 랜섬웨어는 기존과 다르게 악성코드 분석을 방해하기 위해서 문자열들을 암호화하여 난독화를 시킵니다. 또한 사용자 PC 언어설정이 아르메니아(AM), 아제르바이잔(AZ), 벨라루스(BY) 등 17개 국가로 설정이 되어있는 경우 암호화를 진행하지 않습니다. 다음은 암호화 환경을 확인하는 화면입니다. [그림 1] 암호화 환경 확인 화면 ‘KrakenCryptor’ 랜섬웨어는 400여개의 확장자를 대상으로 암호화를 진행합니다. 다음은 암호화 대상 확장자 목록..

악성코드 분석 리포트 2018. 10. 23. 17:32

Libssh CVE-2018-10933 Scanners & Exploits Released - Apply Updates Now 지난 주, Libssh에 존재하는 너무나도 쉽게 악용이 가능한 인증 우회 취약점이 공개 되었습니다. 이후, 공격자들이 원격으로 이 취약점을 악용해 취약한 기기에서 명령어를 실행할 수 있도록 하는 툴 및 스크립트 다수가 공개 되고 있습니다. 이 취약점은 CVE-2018-1093로 등록 되었으며, libssh가 SSH2_MSG_USERAUTH_REQUEST를 기다릴 때 SSH2_MSG_USERAUTH_SUCCESS를 보내기만 하면 악용이 가능해 매우 쉽습니다. 이로써 라이브러리는 해커가 정상적으로 인증 되었다고 판단하고 입장을 허용합니다. 이 취약점은 libssh 버전 0.7.6와 ..

국내외 보안동향 2018. 10. 23. 13:27