안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지금은 널리 쓰이지 않는 압축 파일 포맷 중 하나인 'ACE' 파일을 첨부하고, 나름 자연스러운 한국어로 작성된 해킹 이메일이 국내에 지속적으로 유포되고 있습니다. 2018년 5월 8일 오후 10시 10분경 유포되기 시작한 이 악성 이메일은 다수의 한국 무료 이메일 계정을 활용하고 있습니다. 특히, 공격자는 한국의 특정 기업을 사칭해 수신자로 하여금 보다 신뢰할 수 있도록 가장하고 있습니다. 더불어 한국인 명의를 사용함과 동시에 기업의 공식 이메일 계정이 아닌 무료 웹 메일 서비스를 공격 대상으로 삼고 있어 기업 내부 보안에 각별한 주의와 보안 강화가 요구되고 있습니다. ESRC에서는 해당 위협이 한국내 다수의 이용자에게 전파되고 있는 사..

악성코드 분석 리포트 2018. 5. 9. 17:49

최근 공격자들이 인터넷으로 접근이 가능한 HPE iLO4 원격 관리 인터페이스를 노리고 있습니다. 공격자들은 하드 드라이브를 암호화 시킨 후, 데이터 복구에 비트코인을 요구합니다. 하드웨어가 실제로 암호화 되는지 100% 확신할 수는 없지만, 4월 24일부터 이미 다수의 피해자들이 이 공격에 영향을 받은 것으로 확인 되었습니다. HPE iLO란? HPE iLO 4 (HPE intergrated Lights-Out)은 관리자들이 원격으로 기기를 관리할 수 있도록 특정 HP 서버들에 내장 된 관리 프로세서입니다. iLO는 시스템 관리자가 서버에 연결할 필요 없이 원격으로 서버를 관리하는 데 필요한 전원 관리, 원격 시스템 콘솔, 원격 CD/DVD 이미지 마운팅, 기타 다수 등의 기능을 제공하기 때문에 관리자..

국내외 보안동향 2018. 5. 9. 16:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘견적 의뢰’ 제목으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 이번에 발견된 악성 메일은 “Quote Request” (견적 의뢰) 제목으로 이 제품에 공유할 사진이 있는지 문의하는 내용으로 대용량의 첨부 파일 실행을 유도합니다. [그림 1] 문의 내용을 담고 있는 악성 메일 메일에 첨부된 파일 image-scan0687.zip에는 ‘image-scan068739624829.exe’ PE 파일이 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 이미지 확인을 위해 무심결에 파..

악성코드 분석 리포트 2018. 5. 8. 16:42

8 New Spectre-Class Vulnerabilities (Spectre-NG) Found in Intel CPUs 한 연구원 팀이 Intel CPI에서 새로운 “Spectre-class” 취약점 8개를 발견했다고 밝혔습니다. 이들은 소수의 ARM 프로세서와 AMD 프로세서의 아키텍처에도 영향을 미칠 수 있는 것으로 나타났습니다. Spectre-Next Generation 또는 Spectre-NG라 명명 된 이 취약점의 세부내용 중 일부분이 독일의 컴퓨터 잡지인 Heise의 저널리스트에게 유출 되어, 인텔이 새로운 취약점들 중 4개를 “매우 위험함”으로, 나머지 4개는 “보통”으로 분류했다고 밝혔습니다. 새로이 발견 된 이 CPU 취약점들은 오리지널 Spectre 결점을 발생 시킨 것과 동일한 설..

국내외 보안동향 2018. 5. 8. 09:37

Microsoft Issues Emergency Patch For Critical Flaw In Windows Containers 마이크로소프트는 매월 발행하는 정기 패치를 공개하기에 앞서, Windows Host Compute Service Shim (hcsshim)라이브러리에 존재하는 치명적인 취약점에 대한 긴급 패치를 공개하였습니다. 해당 취약점은 원격의 공격자가 윈도우 컴퓨터에서 악성 코드를 실행하도록 허용합니다. Windows Host Compute Service Shim (hcsshim)은 Hyper-V의 로우레벨 컨테이너 관리 API를 사용해 “Docker for Windows”가 윈도우 서버 컨테이너를 실행할 수 있도록 해주는 오픈소스라이브러리입니다. 스위스의 개발자이자 보안 연구원인 Mi..

국내외 보안동향 2018. 5. 4. 17:10

[5월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2018.5.12 오전11시15분 예식장소2 [Web발신] [CJ대한통운]강한별4월23일 택배 안됨배송 주소오류 변경요망 출처 : 알약M기간 : 2018년 4월 28일 ~ 5월 4일

안전한 PC&모바일 세상/스미싱 알림 2018. 5. 4. 16:12

Twitter urges its 330 million users to change passwords after bug exposed them in plain text 트위터가 내부 시스템에서 비밀번호가 순수 텍스트 형태로 노출되어 3.3억명 이상의 사용자들에게 비밀번호를 변경할 것을 촉구하고 있습니다. 트위터는 영향을 받은 계정의 정확한 수는 공개하지 않았지만, 그 양이 ‘상당하다’고만 답했습니다. 나쁜 소식은, 이 비밀번호가 “수 개월 동안”이나 노출 되었을 수 있다는 것입니다. 트위터는 “우리는 최근 내부 로그에 비밀번호를 암호화 하지 않은 채 저장하는 버그를 발견했습니다. 우리는 버그를 수정했으며, 조사 결과 이를 악용한 증거는 찾을 수 없었습니다.” “또한 이 비밀번호를 사용했던 다른 사이트의 모..

국내외 보안동향 2018. 5. 4. 13:42

안녕하세요? 이스트시큐리티 위협인텔리전스 조직인 시큐리티대응센터(이하 ESRC)입니다. 지난 2016년 12월부터 유창한 한글 이메일로 한국에 집중적으로 유포했던 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 2018년 현재까지도 지속적인 공격을 수행하고 있습니다. 최근에는 갠드크랩(GandCrab) 랜섬웨어 시리즈가 유포에 주로 활용되고 있습니다. 그동안 공격자는 웹 디자인 분야에 종사하는 실존 디자이너나 작가를 교묘히 사칭해 이미지 파일에 대한 저작권법 위반 및 무단 도용에 대한 항의로 가장하거나, 특정 실명을 거론하며 마치 입사지원서로 사칭한 공격도 유행하고 있는 실정입니다. ※ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의http://blog.alyac.co.kr/1660 ..

악성코드 분석 리포트 2018. 5. 4. 11:12