안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '군비 통제 관련 기사 문서'로 위장한 악성코드가 발견되어 이용자들의 주의를 당부드립니다. ※ 참고글 보기 ▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 이번 악성코드에서는 지난 '남북 회담 인터뷰 기사 문서'에 쓰인 것과 동일한 코드가 사용되었으며, 드롭퍼로서 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 드롭합니다. [그림 1] 파일 드롭 코드 또한 지난 번과 마찬가지로 감염된 사실을 숨기기 위해, 군비 통제 관련 기사 내용이 담긴 문서를 드롭한 뒤, 실행합니다. [그림 2] 군비 통제 내용이 담긴 기사 문서 내용 이용자에게 보여주는 문서..

악성코드 분석 리포트 2018. 4. 9. 11:28

Facebook admits public data of its 2.2 billion users has been compromised 페이스북은 악의적인 제 3자가 페이스북 사용자 22억명 모두의 공개 프로필 정보를 수집했다고 밝혔습니다. 지난 수요일, 페이스북 CEO인 마크 주커버그는 “악성 행위자”가 플랫폼의 “검색”툴을 악용해 전 세계 약 20억명 가량의 신상 및 정보를 수집했다고 밝혔습니다. 페이스북은 수 십억 달러의 수익을 창출해 내고 있지만, 사용자의 개인 정보를 보호하는데는 실패했습니다. 이는 정치 컨설팅 회사가 7,700만명의 개인 데이터를 부적절하게 수집해 악용한 Cambridge Analytica 스캔들이 공개된 지 몇 주 만에 보도 되었습니다. 하지만 최근 발생한 사건은 페이스북의 전체..

국내외 보안동향 2018. 4. 6. 16:36

The WhiteRose Ransomware Is Decryptable & Tells A Strange Story 연구원들이 새로운 랜섬웨어를 발견했습니다. 이는 BlackRuby와 Zenis 랜섬웨어와 같은 Infinite Tear 랜섬웨어 패밀리를 기반으로 했습니다. 이 랜섬웨어는 컴퓨터를 감염시키고 파일을 암호화하고, 파일명을 섞어버리며 .WHITEROSE 확장자를 붙입니다. 이 랜섬웨어가 어떻게 배포 되었는지는 알려지지 않았지만, 원격 데스크탑 서비스를 해킹해 수동으로 설치되는 것으로 추측되고 있습니다. 게다가, ID-Ransomware에 등록 된 내용으로 미루어볼 때 이 랜섬웨어의 개발자는 유럽 국가들, 특히 스페인을 노리고 있는 것으로 보입니다. 좋은 소식은, 연구원들이 이 랜섬웨어를 복호화 ..

국내외 보안동향 2018. 4. 6. 14:14

Intel Reveals Some CPU Models Will Never Receive Microcode Updates 인텔이 Meltdown 및 Spectre 완화 가이드의 업데이트를 발표하며, 일부 프로세서 시리즈의 완화 작업을 중단했다고 밝혔습니다. Meltdown 및 Spectre 완화 가이드는 인텔측이 2월 공개한 PDF 문서입니다. 이 파일은 각각의 인텔 CPU 모델들의 마이크로코드 업데이트 상태에 대한 정보를 포함하고 있습니다. 이 파일은 최종 사용자와 OEM용으로 작성 되었으며, 사용자들이 어떤 마이크로코드 패치가 필요한지, 인텔이 업데이트를 공개한 후 OEM이 해당 패치를 사용자에게 전달하였는지 등을 이해할 수 있도록 하기 위한 것입니다. 마이크로코드 업데이트를 받을 수 없는 CPU 모델..

국내외 보안동향 2018. 4. 5. 15:51

안녕하세요? 이스트시큐리티입니다. 차세대 문서보안 솔루션 시큐어디스크가 2018년에도 『기술유출방지시스템 구축사업』을 통해 중소기업 핵심 기술보호에 적극적으로 도움을 드리고 있다는 내용을 안내 드린 바 있습니다. 자세히 보기 ▶[기술유출방지시스템 구축사업] 2018년도 가장 확실한 시큐어디스크와 함께 하세요! 해당 사업을 통한 도입 과정과 실제 사용은 어떠셨는지 살펴보기 위해, 2017년도 기술유출방지시스템 구축사업을 통해 시큐어디스크와 함께하고 계시는 '다인바이오주식회사' 고객사 인터뷰를 다녀왔습니다! 다인바이오주식회사는 1999년 설립된 1세대 생명공학 벤처기업으로, 바이오 원천기술과 기능성 소재 개발에 앞장서며 2017년 경기도 유망중소기업으로 선정된 바 있습니다. 다양한 연구개발, 적극적인 사업화..

이스트시큐리티 소식 2018. 4. 5. 11:15

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '동맹과 비핵화를 주제로 한 남북 회담 관련 인터뷰 기사 문서'로 위장한 악성코드가 발견되어 주의를 당부드립니다. 이번에 발견된 악성코드를 실행하면 인터뷰 기사가 작성된 정상 문서를 보여줍니다. 하지만 드롭퍼로서, 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 자가 복제 및 실행합니다. 또한 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다. 추후 본 악성코드는 자가 삭제됩니다. [그림 1] 남북 회담 관련 인터뷰 기사 내용이 담긴 문서 [그림 2] 자가 복제 및 자동 실행 레지스트리 등록 코드 드롭퍼에서 실행되는 'errors.dll'은..

악성코드 분석 리포트 2018. 4. 4. 16:32

Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure 감염 된 컴퓨터의 파워를 모네로를 채굴하는데 은밀히 사용하는 새로운 안드로이드 악성코드가 발견 되었습니다. 이는 HiddenMiner라 명명 되었습니다. 모네로를 채굴하는 이 안드로이드 앱은 사용자 모르게 자신을 숨기고 기기의 관리자 기능을 악용해 셀프 보호 기능과 지속 매커니즘을 구현했습니다. HiddenMiner에 연결 된 Monero 지갑들을 확인 결과, 운영자들이 26XMR ($5,360 상당)을 인출해간 것을 확인했습니다. HiddenMiner는 기기의 CPU 파워를 이용해 Monero를 채굴합니다. 이 코드에는 스위치, 컨트롤러, 최적화 도구가 없어 기기..

국내외 보안동향 2018. 4. 3. 15:48

2018년 1월 초, 2개의 CPU 취약점인 meltdown과 spectre가 공개되었습니다. 해당 취약점들이 발생한 이후 MS를 포함한 다양한 제품들의 제조사들은 패치를 공개하였습니다. 하지만 MS가 해당 취약점들을 패치하는 과정에서 실수가 발생하였으며, 이런 실수는 또 다른 취약점인 TotalMeltdown(CVE-2018-1038)를 만들어냈습니다. 해당 취약점에 대한 상세 내용은 3월 27일 처음 공개되었으며, 현재는 이미 패치된 상황입니다. 취약점 번호 CVE-2018-1038 상세내용 Total Meltdown 취약점은 어떤 프로세스가 매 초당 기가바이트의 속도로 메모리 내용을 읽는 동시에 임의 메모리에 입력도 가능합니다. 해당 취약점을 이용하면, 일반 사용자의 권한으로 실행된 프로세스가 커널..

국내외 보안동향 2018. 4. 2. 18:05