Princess Evolution Ransomware is a RaaS With a Slick Payment Site Princess Locker 랜섬웨어의 새로운 변종이 Princess Evolution이라는 이름으로 배포 되고 있습니다. 이전 버전과 마찬가지로, Princess Evolution은 서비스형 랜섬웨어(RaaS)이며 언더그라운드 범죄 포럼들에서 광고 되고 있습니다. 이 랜섬웨어가 여러 협력사를 통해 배포 되고 있기 때문에, 수 많은 배포 방식을 사용하고 있습니다. 이 랜섬웨어를 배포하는 방식 중 하나는 RIG 익스플로잇 키트로 밝혀졌습니다. 안타깝게도, 현재로써는 Princess Evolution으로 암호화 된 파일을 복호화 할 수 있는 방법은 없습니다. Princess Evolution..

국내외 보안동향 2018. 8. 16. 17:44

인텔 Core 및 Xeon 프로세서에 영향을 미치는 새로운 취약점이 발견되었습니다. 이번에 발견된 3개의 취약점은 이전에 발견된 Spectre/Meltdown 취약점과 유사합니다. 취약점 개요 Foreshadow 취약점(CVE-2018-3615)CPU의 L1캐시 중 SGX 데이터를 탈취할 수 있습니다. Foreshadow-NG(CVE-2018-3620, CVE-2018-3646)Foreshaow 공격의 두 가지 변형 버전으로, CPU의 L1 캐시 중의 데이터 탈취할 수 있는데, CVE-2018-3620취약점은 시스템관리모드(SSM) 또는 시스템 커널의 정보를 탈취할 수 있으며, CVE-2018-3646취약점은 버추얼머신매니저(VMM)의 가상정보를 탈취할 수 있습니다. 영향받는 버전 Microsoft Wi..

국내외 보안동향 2018. 8. 16. 15:26

안녕하세요? 이스트시큐리티입니다. 2017년 처음 등장한 ‘FormBook’ 악성코드가 최근까지 지속적으로 발견되고 있습니다. ‘FormBook’ 악성코드 제작자는 자체적으로 버전 업그레이드를 유지하며 변종을 생성하고 있습니다. 유포 방법은 주로 정상 문서를 위장하여 제작되고 있으며, 취약점을 통하여 악성코드가 실행되기 때문에 일반 사용자의 경우 감염 사실을 알기 어려워 주의가 필요합니다. 따라서, 본 보고서에서는 정상 이메일로 유포된 ‘FormBook’ 악성코드의 행위와 이를 예방하기 위한 방법 등을 기술하고자 합니다. 악성코드 상세 분석 1. 유포 과정 지난 7월 특정 기업에서 다음과 같은 메일이 수신되었습니다. 메일 내용을 간략하게 요약하면 “귀하의 제품을 유통과정 없이 직접적으로 구매하고 싶으니 ..

악성코드 분석 리포트 2018. 8. 16. 09:00

2018년 8월 10일, Oracle DB Java VM 컴포넌트 취약점이 공개되었습니다. 해당 취약점은 2018년 7월에 공개한 CPU 중의 CVE-2018-3004와 동일한 이유로 발생하며, 공격 방식은 더 간단합니다. 이 취약점을 악용하면 공격자는 Oracle Net을 통해 Java VM을 공격할 수 있습니다. 해당 취약점은 Java VM에 존재하지만, 다른 제품과 서버를 공격하는데도 악용될 수 있습니다. 공격자는 공격 성공 후 Java VM을 장악할 수 있습니다. 취약점 번호 CVE-2018-3110 영향받는 버전 Oracle DB Windows 버전 11.2.04 및 12.2.0.1 / 12.1.0.2 모든 버전 / 2018년 7월 CPU가 적용되지 않은 버전 취약점 패치는 Premier Sup..

국내외 보안동향 2018. 8. 14. 18:16

안녕하세요? 이스트시큐리티입니다. 여름을 맞아 알약이 전해드리는 이벤트, 벌써 마지막 3탄이 시작되었습니다. 늦캉스를 떠나는 여러분께 큰 도움이 될 이번 이벤트는 바로 '꽃보다 보안' 가로세로 퀴즈 이벤트입니다! 휴가철에도 계속되는 악성코드의 위협! 나의 PC와 모바일을 안전하게 지키기 위해, 바캉스 떠나기 전 꼭 알아야 할 보안상식을 알약이 알려드립니다.아래에서 자세한 내용을 확인하시고, 지금 바로 이스트시큐리티 페이스북을 통해 휴가철 보안상식에 맛있는 치킨까지 챙겨가시길 바랍니다! 참여 방법아래 링크를 클릭하여 이벤트를 확인하고, 가로세로 퀴즈의 정답을 페이스북 게시물에 댓글로 남겨주세요. ▶ 응모하기(클릭) * 자세한 응모 방법은 위 '응모하기' 링크를 참고해 주세요. 응모 기간 및 당첨자 발표일2..

이스트시큐리티 소식 2018. 8. 14. 16:19

■ 기업 거래내역서로 위장한 APT 공격 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 08월 10일경 마치 특정 기업의 거래내역 엑셀문서처럼 위장한 악성코드가 스피어피싱(Spear Phishing) 기법으로 유포된 정황이 포착되었습니다. ESRC는 공격에 활용된 자료들을 조사 중에 몇 가지 흥미로운 단서를 발견했습니다. 공격자는 자신의 신분을 숨기기 위해 마치 한국의 특정 포털사처럼 유사한 정보를 사용했으며, 세무회계 사무소 담당자로 위장했습니다. 또한, 한국에서 주로 이용되는 압축 프로그램을 이용했고, 엑셀(Excel) 문서처럼 보이게 하기 위해 2중 확장자 기법을 활용했습니다. [그림 1] 공격 벡터 흐름도 ■ 공격 절..

악성코드 분석 리포트 2018. 8. 14. 15:55

DNS Hijacking targets Brazilian financial institutions 범죄자들이 DNS 설정을 변경해 브라질 사용자들을 가짜 은행 웹사이트로 이동시키기 위해 DLink DSL 모뎀 라우터를 공격하고 있는 것으로 나타났습니다. 연구원들은 사이버 범죄자들이 이 공격을 통해 은행 계정의 로그인 크리덴셜을 훔친다고 밝혔습니다. 공격자들은 네트워크 장비의 DNS 세팅을 자신들이 제어하는 DNS 서버로 변경합니다. 연구원들은 범죄자들이 69.162.89.185과 198.50.222.136 두 개의 DNS 서버를 사용하는 것을 발견했습니다. 이 2개의 DNS 서버는 Banco de Brasil (www.bb.com.br) 과 Itau Unibanco (www.itau.com.br)의 논리..

국내외 보안동향 2018. 8. 14. 11:00

New Cmb Dharma Ransomware Variant Released 지난 목요일, Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이는 암호화 된 파일에 .cmb 확장자를 붙입니다. Dharma 랜섬웨어의 Cmb 변종은 연구원인 Michael Gillespie가 ID 랜섬웨어에 업로드 된 샘플을 확인해 발견 되었습니다. 불행히도 현재 Dharma Cmb 랜섬웨어에 감염 된 파일을 무료로 복호화 하는 방법은 없습니다. 원격 데스크탑 서비스를 통해 유포 돼 Cmb 변종을 포함한 Dharma 패밀리는 원격 데스크탑 프로토콜 서비스(RDP)를 통해 컴퓨터를 해킹하여 수동으로 설치 됩니다. 공격자들은 인터넷에서 보통 TCP 포트 3389에서 실행 되는 RDP를 탐색 후 컴퓨터의 패스워드를 알아내기..

국내외 보안동향 2018. 8. 13. 16:29