안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어 이용자들의 주의를 당부 드립니다. 이번에 발견된 'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에 'LocalDQhZjmCUTx.exe' PE 파일과 'LocalZaMiXJBzqg.mp4' 동영상 파일을 드롭 및 실행합니다. 공격자는 다음의 동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다. [그림 1] LocalZaMiXJBzqg.mp4' 동영상 파일 재생 화면 파일 실행 및 드롭 코드는 아래와 같습니다. [그림 2] 파일 드롭 및 실행 코드 드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷..

악성코드 분석 리포트 2018. 3. 8. 13:19

600 Powerful Bitcoin-Mining Computers Worth $2 Million Stolen In Iceland “Big Bitcoin Heist”라 불리는 아이슬란드의 데이터 센터에서 비트코인 및 기타 다른 코인들을 채굴하기 위해 특별히 설계 된 강력한 기기들 약 600대가 도난 당한 것으로 나타났습니다. 지금까지 범죄자들은 돈을 벌기 위해 암호화 화폐 거래소를 해킹하고, 채굴 멀웨어 및 랜섬웨어를 배포하고 심지어는 코인 투자자들을 납치하는 등의 행위를 해왔지만, 그들의 욕심이 더욱 과해진 것으로 보입니다. 이 컴퓨터들은 약 2백만 달러의 가치가 있는 것으로 추정 되며, 한 대당 약 $11,500 상당의 코인을 채굴하는데 사용 되었습니다. 이 도난 사건은 지난 12월 말부터 1월 초 ..

국내외 보안동향 2018. 3. 7. 14:46

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 한국어로 번역된 것으로 보이는 전신 송금 확인 메일이 국내에 유입된 정황이 확인되어 주의를 당부드립니다. 이번에 발견된 악성 메일은 전신 송금을 확인하라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 '주문.rar'에는 'purchase order.exe' 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 '주문.rar 파일 'purchase order.exe' 파일은 %APPDATA% 경로에 'tmp.exe' 파일을 드롭 및 실행합니다. [그림 3] tmp.exe 파일 드롭 및 실행 코드 드롭되어 실행되는 'tmp.exe' 파일은 프로세스 인젝션 이후, 정보 탈취 기능을 수행합니..

악성코드 분석 리포트 2018. 3. 6. 18:07

[3월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 접수번호[9012-5970] 2 [Web발신] 민원조회 출처 : 알약M기간 : 2018년 2월 26일 ~ 3월 2일

안전한 PC&모바일 세상/스미싱 알림 2018. 3. 6. 14:34

최근 Memcached 서버를 이용한 DRDoS 공격이 급격히 증가하였습니다. 얼마전 github가 받은 공격 역시 Memcached를 이용한 DDoS 공격이였습니다(▶ 자세히보기) 기업 보안 담당자 분들은 적절한 Memcached 설정으로, 공격자에 의해 악의적으로 이용되지 않도록 해야 합니다. Memcached란? Memcache란 메모리를 사용해 캐시서비스를 제공해주는 데몬으로 기업에서 대역폭을 효과적으로 사용하기 위하여 구축합니다. Memcached DRDoS 원리 Memcached 반사 공격은 공용 네트워크 상에 공개되어 있는 대량의 Memcached 서버(분산식 캐시 시스템)에 존재하는 인증과 설계의 취약점을 이용하는 것입니다. 공격자는 memcached 서버 ip주소의 기본 포트인 11211..

국내외 보안동향 2018. 3. 6. 14:00

RedDrop, a new Android Malware records ambient Audio and exfiltrate user’s data 최근 발견 된 모바일 악성코드인 RedDrop이 감염 된 기기로부터 데이터를 훔치고, 주변의 오디오를 녹음하는 것으로 나타났습니다. 감염 된 기기에서 훔친 모든 데이터는 원격 파일 저장 시스템으로 업로드 됩니다. 이 악성 코드는 이미지 에디터, 계산기, 언어 학습 앱, 우주 탐험 앱 등 무해해 보이는 안드로이드앱들 53개에서 발견 되었습니다. 이 어플리케이션들은 예상한 대로 동작하며, RedDrop 악성코드는 백그라운드에서 실행 됩니다. 일단 감염 된 앱이 설치 되면, 서로 다른 C&C 서버에서 최소 7개의 안드로이드 어플리케이션 패키지(APK)들을 다운로드합니다..

국내외 보안동향 2018. 3. 6. 09:46

미국시간으로 2월 28일 오후 12시 15분, Github가 순간트래픽이 1.35 Tbps에 달하는 DDoS 공격을 받았습니다. 이는 지금까지 발생됬던 DDoS 공격들 중에서 가장 큰 규모의 DDOS 공격입니다. Github는 공격을 저지하려 노력했지만, 간헐적으로 사이트가 끊기는 현상이 발생하였습니다. 10분 내, Github는 DDoS 보안장비업체인 Akamai Technologies에 도움 요청을 하였으며, 8분 뒤 공격자는 공격을 철회하였습니다. 이번 공격은 사이버 공격 규모가 점점 커지고 있다는 것을 나타냅니다. 작년에 DNS 서비스 업체인 Dyn이 받은 DDoS 공격과 비교해 볼 수 있는데, 당시 공격의 순간 트래픽은 1.2Tbps였습니다. Github가 공격 받은 후 Akamai의 Josh ..

국내외 보안동향 2018. 3. 5. 14:31

Phone-Cracking Firm Found a Way to Unlock Any iPhone Model 2년 전, San Bernardino에서 발생한 대형 총기 사고의 테러리스트의 아이폰 잠금을 풀기 위한 FBI와 애플의 싸움을 기억하시나요?애플이 잠긴 아이폰의 데이터에 접근을 요청하는 FBI의 요구를 거절한 후, FBI는 해당 범죄자의 아이폰 5C의 잠금을 풀기 위해 타 업체에 백만 달러 이상을 지불했습니다.이스라엘의 모바일 포렌식 회사인 Cellebrite가 최신 기종인 iPhone X를 포함한 거의 모든 아이폰을 언락하는 방법을 발견한 것으로 보여, FBI는 더 이상 애플과 싸우지 않아도 될 것으로 보입니다. 미국 법 집행 기관들이 주로 이용하는 보안 업체인 Cellebrite가 iOS 11 및..

국내외 보안동향 2018. 3. 1. 08:00