1. 최신 APT 캠페인, 작전명 유령 꼭두각시(Operation Ghost Puppet) 안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 8월경, 악성 한글 문서 파일 ‘유사수신행위 위반통보.hwp’가 발견되었습니다. 해당 문서 파일은 특정인의 유사 수신 행위에 대한 고발 내용을 담고 있지만 파일 내부에 ‘GhostScript’ 취약점 코드를 포함하고 있습니다. 이용자가 무심결에 실행할 경우, 취약점으로부터 원격 제어 기능을 수행하는 악성코드(페이로드)에 감염됩니다. 공격 과정에서 주목할 점은 공격자는 악성코드 감염을 위해 한글 문서 파일을 사용하였다는 것입니다. 공격자가 한글 문서를 사용한 이유는 ‘한글’ 워드프로세서 제품은 MS Office 제품군(Excel, Word 등)과..

악성코드 분석 리포트 2018. 9. 20. 14:58

New Botnet Hides in Blockchain DNS Mist and Removes Cryptominer 보안 연구원들이 무해한 행동을 하며 C&C 서버와의 오리지널 커뮤니케이션을 사용하는 새로운 봇넷을 발견했습니다. Fbot은 오리지널 DDoS 모듈을 가지고는 있지만 사용하지는 않는 것으로 보이는 Mirai의 특이한 변종입니다. 더욱 놀라운 것은, 이 봇넷의 목표가 크립토마이닝 악성코드에 감염 된 기기를 찾아 제거하는 것이라는 점입니다. Qihoo 360Netlab의 보안 연구원들은 안드로이드 기기들(스마트폰, 스마트 TV, 셋탑박스)에서 모네로를 채굴하는 ADB.Miner의 변종으로 알려진 봇넷 악성코드인 'com.ufo.miner' 를 물리치는 새로운 변종을 발견했습니다. Fbot, 크립토..

국내외 보안동향 2018. 9. 20. 13:41

최근 중국의 보안업체인 Tencent는 전문적으로 기업의 내부망을 타겟으로 하는 갠드크랩(GandCrab) 랜섬웨어를 발견했다고 밝혔습니다. 이번에 발견된 갠드크랩의 버전은 4.3인것으로 확인되었습니다. 이번에 발견된 버전이 이전 버전들과 다른 점은, 공격자가 내부망에 침입하여 채굴 악성코드와 랜섬웨어를 동시에 드랍하여, 공격 가치가 높은 시스템일 경우에는 GandCrab 랜섬웨어를, 공격가치가 상대적으로 낮은 시스템일 경우 채굴 악성코드를 사용하여 공격의 효율성을 높이려고 하였다는 점입니다. 이번 GandCrab 4.3은 Tomcat 서버의 취약한 비밀번호를 이용하여 침투를 하였습니다. 침투에 성공한 후, C2서버에서 랜섬웨어와 채굴 악성코드를 내려받습니다. 암호화된 파일을, 복호화 하려면 499달러의..

국내외 보안동향 2018. 9. 19. 17:49

안녕하세요? 이스트시큐리티입니다. 지난 8월, 알약크루 1기 모집 소식을 안내해 드렸었는데요. 열정 넘치고 통통튀는 아이디어로 무장한 지원자분들이 많아, 고민과 고민을 거듭한 끝에 '알약크루 1기'가 최종 선발되었습니다. (짝짝짝) 하루에도 수만 개의 악성코드가 출현하며 정보 보안에 대한 관심이 커지는 요즘, 이스트시큐리티는 알약크루와 함께 통합백신 ‘알약’과 안드로이드 모바일 보안 정리 앱 ‘알약M’을 알리고 소통하며 발전시켜나갈 계획입니다 :) 그럼 설렘과 열정이 가득했던 이스트시큐리티 대학생 서포터즈 '알약크루 1기' 발대식 현장을 엿보러 가볼까요? 두구두구~ 알약크루, 입장합니다! 지난 9월 14일, 서울 서초동 이스트시큐리티 본사에서 ‘알약크루 1기 발대식’이 진행되었습니다. 긴장반 설렘반으로 ..

알약人 이야기 2018. 9. 19. 10:48

New Brrr Dharma Ransomware Variant Released .brrr 확장자를 붙이는 Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이 변종은 보안 연구원인 Jakub Kroustek이 트위터에 VirusTotal의 샘플을 링크해 알려졌습니다. 불행히도, 아직까지 Dharma Brrr 랜섬웨어 변종에 감염 되어 암호화 된 파일을 무료로 복호화하는 방법은 없습니다. 원격 데스크탑 서비스를 해킹하여 배포 돼 Brrr 변종을 포함한 Dharma 랜섬웨어 변종은 공격자가 인터넷에 직접적으로 연결 된 원격 데스크탑 서비스를 해킹해 수동으로 배포 됩니다. 공격자들은 일반적으로 TCP 포트 3389에서 RDP를 실행하는 컴퓨터를 인터넷에서 스캔 후, 컴퓨터의 패스워드 브루트포싱을 시도합니..

국내외 보안동향 2018. 9. 19. 10:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(18일) 새벽 국내 불특정다수의 사용자에게 스팸메일로 위장한 크립토재킹 공격이 시도된 정황이 포착되었습니다. 크립토재킹이란 암호화폐를 뜻하는 ‘Cryptocurrency’와 납치를 뜻하는 ‘Hijacking’을 합친 신조어로 사용자의 PC나 스마트폰 자원을 사용자 모르게 암호화폐 채굴에 이용하여 부당이득을 취하는 공격을 뜻합니다. 해당 스팸메일은 주식관련 내용 문구로 위장하고 있으며, 해당 스팸메일 내부에는 코인하이브 코인 채굴코드가 포함되어 있어 크립토재킹 공격을 시도합니다. 일부 사용자들의 경우 공격자의 실수로 html 태그가 잘못 사용되어 코드가 그대로 노출된 이메일을 수신하기도 하였습니다. 해당 메일에 포함되어 있는 링크를 클릭하면..

악성코드 분석 리포트 2018. 9. 19. 08:54

Google Android team found high severity flaw in Honeywell Android-based handheld computers 구글안드로이드 팀의 전문가들이 Honeywell 안드로이드 기반 핸드헬드(handheld) 컴퓨터 일부 모델에서 심각도 높은 권한 상승 취약점을 발견했습니다. 공격자가 악용할 경우 상승 된 권한을 얻을 수 있습니다. 회사에 따르면, Honeywell 핸드헬드 컴퓨터는 소비자의 PDA와 고급 산업용 모바일 컴퓨터의 장점을 하나의 견고한 패키지로 결합했습니다. 이 기기는 산업 표준 802.11x, Cisco 호환, 블루투스를 포함한 향상 된 연결성을 제공하며 에너지, 의료, 중요 제조(critical manufacturing), 상업 시설 등에서 ..

국내외 보안동향 2018. 9. 18. 11:21

Kraken Cryptor Ransomware Masquerading as SuperAntiSpyware Security Program Kraken Cryptor 랜섬웨어는 2018년 8월 공개 된 새로운 랜섬웨어입니다. 이 랜섬웨어의 새로운 버전인 Kraken Cryptor 1.5가 최근 SuperAntiSpyware라는 안티바이러스 프로그램으로 위장한채 발견 되었습니다. 게다가 공격자들이 superantispyware.com 사이트에 접근 권한을 얻어 이를 이용해 랜섬웨어를 배포한 것으로 나타났습니다. SuperAntiSpyware로 위장한 Kraken Cryptor 랜섬웨어 1.5 Kraken Cryptor가 발견 된 이래로 추적해 오던 연구원인 MalwareHunterTeam이 금일 아침 이 새로..

국내외 보안동향 2018. 9. 17. 16:09