안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다. 2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다. 동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다. 그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다. 아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관..

악성코드 분석 리포트 2018. 5. 15. 08:47

Nearly 400 Drupal sites infected with malware that secretly mines cryptocurrency Bad Packets Report의 보안연구원 Troy Mursch는 구버전의 Drupal을 사용하는 홈페이지들이 해커들의 공격을 받은것을 발견하였습니다. 이번 공격은 약 400여개의 홈페이지를 감염시켰으며, 주로 미국 정부기관및 교육기관을 타겟으로 하였으며, 많은 과학기술관련 홈페이지도 해당 악성코드에 감염되었습니다. Mursch가 수집한 감염 홈페이지 목록 중에는 미국국가노동관계위원회(NLRB), 중국 리노보, 대만의 하드웨어 제조업체인 D-Link 및 UCLA도 포함되어 있었습니다. 미국, 모스크바, 터키, 페루, 남아프리카 및 이탈리아 홈페이지들도 공격을..

국내외 보안동향 2018. 5. 14. 16:49

GANDCRAB RANSOMWARE FOUND HIDING ON LEGITIMATE WEBSITES GandCrab 랜섬웨어가 지속적으로 확산 되고 있으며, 변화하는 사이버 환경에 적응하고 있습니다. 최근에는 대규모의 스팸 캠페인으로 돌아왔습니다. GandCrab의 페이로드가 해킹 된 합법적인 사이트에 숨어있는 것이 발견 되었습니다. 분석 결과, 해당 웹사이트는 업데이트 되지 않은 소프트웨어로 인한 취약점으로 가득했습니다. 이 캠페인을 분석하고 보고서를 발행한 연구원들은 아래와 같이 밝혔습니다. “많은 중소기업들이 웹 프레임워크의 새로운 취약점에 대해 알지 못하며, 알고 있더라도 소프트웨어를 제때 업데이트 할 수 있는 전문 기술과 시간이 부족합니다.” “하지만 공격자들은 이러한 취약점을 빠르게 악용하고 ..

국내외 보안동향 2018. 5. 14. 15:15

5 Powerful Botnets Found Exploiting Unpatched GPON Router Flaws GPON 라우터의 치명적인 취약점 2개가 공개 된지 단 10일 만에, 최소 5개의 봇 패밀리들이 이 결점을 악용해 수 백만 기기로 이루어진 군대를 만든 것으로 나타났습니다. (▶ 다산의 GPON 라우터를 원격 해킹으로부터 보호하기 위한 간단한 툴 공개 돼) 보안 연구원들은 봇넷 패밀리 5개(Mettle, Muhstik, Mirai, Hajime, Satori)가 GPON 익스플로잇을 실제 공격에 사용한다는 사실을 발견했습니다. 이전에 보도했듯이, 한국의 업체인 다산 존 솔루션에서 제조한 GPON(Gigabit-capable Passive Optical Network) 라우터들이 인증 우회 (..

국내외 보안동향 2018. 5. 11. 16:35

[5월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 예식시간:2018.5.19오전 11시15분 장소2 [Web발신] [CJ대한통운]유지혜4월23일 택배 안됨배송 주소오류 변경요망 출처 : 알약M기간 : 2018년 5월 5일 ~ 5월 11일

안전한 PC&모바일 세상/스미싱 알림 2018. 5. 11. 14:13

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 마치 한국의 유명 취업전문 웹 사이트의 채용 공고와 지원문의로 교묘하게 위장된 갠드크랩 (GandCrab) 랜섬웨어(Ransomware) 이메일이 국내에 급속도로 전파되고 있으며, 실제 감염 피해 보고까지 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요망됩니다. 이 공격자(해커)는 2016년 말부터 한국의 특정기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있습니다. 그런 가운데 며칠 전부터 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자의 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정입니다. 이전에는 주로 이메일에..

악성코드 분석 리포트 2018. 5. 11. 10:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 제품 주문서 관련 건으로 위장하였고, 첨부 파일의 실행을 유도합니다. [그림 1] '제품 주문서'로 위장한 악성 메일 첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며, 이를 통해 드롭박스로 연결을 유도합니다. [그림 2] 피싱 사이트 접속을 유도하는 PDF 파일 이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다...

악성코드 분석 리포트 2018. 5. 10. 13:49

A Simple Tool Released to Protect Dasan GPON Routers from Remote Hacking 해커들이 다산의 GPON 홈 라우터에서 최근 발견 된 패치 되지 않은 치명적인 취약점 2개를 악용하고 있는 것으로 확인되었습니다. 이에 보안 전문가들이 취약한 라우터를 사용하는 수 백만 사용자를 돕기 위해 비공식 패치를 공개했습니다. 지난 주, vpnMentor의 연구원들은 한국의 다산 존 솔루션즈에서 제조한 GPON (Gigabit-capable Passive Optical Network)에서 인증 우회 취약점 (CVE-2018- 10561)과 루트-원격 코드 실행 취약점 (CVE-2018- 10562)을 발견했습니다. 첫 번째 취약점(CVE-2018- 10561)을 악용할..

국내외 보안동향 2018. 5. 10. 10:48