안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 버전의 랜섬웨어가 등장하여 이용자들의 주의를 당부드립니다. 이번에 발견된 GandCrab 4.0이 실행될 경우 먼저 다음의 프로세스를 종료합니다. 종료되는 프로세스에는 SQL 관련 프로그램 및 오피스, 스팀과 같은 프로그램이 있습니다. 이는 암호화 대상 파일의 쓰기 권한을 확보하기 위함으로 보여집니다. msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, sqlser..

악성코드 분석 리포트 2018. 7. 6. 14:35

[7월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 고객님 휴대폰으로 49000원이 결제처리되였습니다 본인아닐시 즉시 신고2 법원 소송내역입니다 출처 : 알약M기간 : 2018년 6월 30일 ~ 7월 6일

안전한 PC&모바일 세상/스미싱 알림 2018. 7. 6. 14:31

7월 3일, 대만의 민진당 홈페이지가 해커의 공격을 받았습니다. 해킹 된 홈페이지에는 다양한 표정과 함께 간체자로 차이잉원의 연임을 지지하는 문구가 작성되어 있었습니다. 많은 사람들은 모두 중국 대륙 해킹의 소행으로 추정하고 있지만, 일부에서는 민진당 자신들이 꾸민 것이 아니냐는 의심을 하고 있기도 합니다. 이번 공격으로 민진당 홈페이지의 거의 모든 내용들이 변경되었으며, 민진당 대표 차이잉원을 "차이샤오잉"이라 부르며 지지와 연임을 희망하는 내용의 메세지를 작성하였습니다. 비록 간체자로 작성되어 있었지만, 이모티콘들은 주로 대만에서 사용되는 것으로 보아 대만 내의 해커들의 소행일 것이라는 점도 배제할 수 없습니다. 이번 사건이 발생된 이후, 민진당 홈페이지(https://www.dpp.org.tw/)는..

국내외 보안동향 2018. 7. 5. 14:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 화물 운송 문의로 위장한 악성메일로 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드 주의 이번에 발견된 악성 메일은 화물 운송 문의 내용이 담겨 있으며, 특징적으로 FOB, CIF와 같은 무역 용어가 사용되었습니다. [그림 1] 화물 운송 문의로 위장한 악성 메일 메일에 첨부된 파일 'Quote001993842.ace'에는 'Quote001993842.com'가 있습니다. [그림 2] 첨부 파일 'Quote001993842.ace' 이용자가 만일 'Quote001993842.com' 악성 PE 파일을 실행할 경우 사용자 PC 정보와 함께 ..

악성코드 분석 리포트 2018. 7. 5. 11:44

GandCrab V4 Released With the New .KRAB Extension for Encrypted Files 지난 주말, 많은 변화가 적용 된 GandCrab V4 랜섬웨어가 발견 되었습니다. 다른 암호화 알고리즘을 적용했으며, 새로운 .KRAB 확장자를 붙이고, 랜섬노트 이름이 변경 되었으며, 새로운 TOR 지불 사이트를 사용합니다. 현재 GandCrab V4의 피해자들은 파일을 무료로 복호화할 수 없는 상태입니다. GandCrab V4, 가짜 크랙 사이트를 통해 배포 돼 Fly라는 예명을 사용하는 연구원은 GandCrab v4가 배포 되는 방식 중 하나가 가짜 소프트웨어 크랙 사이트를 이용하는 것이라 밝혔습니다. 랜섬웨어 배포자들은 정식 사이트를 해킹해 소프트웨어 크랙 다운로드를 제공..

국내외 보안동향 2018. 7. 4. 16:49

안녕하세요? 이스트시큐리티입니다. 통일부를 사칭한 해킹 공격 시도가 꾸준히 발견되고 있어, 이용자분들의 각별한 주의가 요망됩니다.특히, html 유형의 악성코드를 첨부해 보내는 특징이 있습니다. [그림 1] 스피어피싱 이메일 화면 이른바 정부지원 해커로 알려진 ‘금성121(Geumseong121)’ 그룹이 공식적인 ‘남북이산가족찾기 전수조사’ 내용으로 사칭한 해킹 이메일을 통해 APT 공격을 수행하고 있어 각별한 주의가 필요합니다. [그림 2] 남북이산가족찾기 의뢰서로 위장한 악성파일 실행 화면 시큐리티대응센터(ESRC)가 분석한 내용에 따르면, 이번 공격에 사용된 HWP 문서취약점은 기존 스타일에서 포스트스크립트(PostScript) 리버스 난독화 기법이 추가되었고, 문서 스트림에 암호화되어 숨겨진 최..

악성코드 분석 리포트 2018. 7. 4. 14:11

Two Zero-Day Exploits Found After Someone Uploaded 'Unarmed' PoC to VirusTotal 마이크로소프트의 보안 연구원들이 두 개의 치명적이고 중대한 제로데이 취약점 2개의 세부사항을 공개했습니다. 이 취약점들은 누군가 악성 PDF 파일을 VirusTotal에 업로드한 후 발견 되어, 실제로 악용 되기 전에 패치 되었습니다. 지난 3월 말, ESET의 연구원들은 VirusTotal에서 악성 PDF 파일을 발견해 마이크로소프트의 보안팀에 공유하며 “알려지지 않은 윈도우 커널 취약점용 잠재적 익스플로잇”이라고 설명했습니다. 악성 PDF 파일을 분석해본 결과, 마이크로소프트 팀은 이 파일이 2개의 제로데이 익스플로잇을 포함하고 있는 것을 발견했습니다. 하나는 ..

국내외 보안동향 2018. 7. 4. 10:56

Facebook Admits Sharing Users' Data With 61 Tech Companies 페이스북이 수십 개의 기술 회사 및 앱 개발자들에게 사용자 데이터에 대한 특별 접근 권한을 준 것을 인정했습니다. 이는 2015년 외부 회사들이 이러한 데이터에 접근 할 수 없도록 제한했다고 공개적으로 발표한 후입니다. 올 3월 Cambridge Analytica 사건이 일어났을 당시, 페이스북은 이미 2015년 5월에 사용자 및 사용자 친구의 데이터에 제3자가 접근할 수 없도록 했다고 밝혔습니다. 하지만, 지난 금요일 미 의회에 전달 된 747 페이지의 긴 문서[PDF]를 확인 결과, 페이스북은 2015년 이후에도 61개의 하드웨어 및 소프트웨어 개발사, 앱 개발자들에게 데이터를 계속해서 공유해 왔..

국내외 보안동향 2018. 7. 3. 15:38