UpGuard 회사의 보안연구원은 2월 28일 데이터정보회사 LocalBlox에 저장되어 있던 4800만명의 사용자 데이터가 아마존 스토리지 S3버킷에 공개되었습니다. 이 버킷에 포함된 데이터들은 151.3GB의 압축파일이였으며, 압축해제 후에는 1.2TB에 해당하는 ndjson 파일이였습니다. 파일명인 Final_people_data_2017_5_26_48m.json으로 보았을 때, 이는 LocalBlox가 2017년 5월 27일에 백업한 백업파일로 추정되고 있습니다. 공개된 데이터는 Facebook, LinkedIn 및 트위터 자료 LocalBlox는 고객정보 플랫폼으로 기업과 개인의 프로필을 검색, 결합, 검사할 수 있게 해준다고 자신들을 소개하고 있습니다. 몇 주의 분석 후 UpGuard회사는 L..

국내외 보안동향 2018. 4. 23. 15:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 가상화폐 커뮤니티 및 사이트 게시판에서 외국 가상화폐 사용 설명서 글로 위장된 게시물로 악성코드를 유포하려는 정황이 포착되어 주의를 당부 드립니다. 공격자는 악성코드가 유포되는 사이트 주소와 함께 해외 코인거래소의 재정거래, 마진거래 등에 대한 설명과이용방법이 소개된 게시물을 작성하였습니다. 이를 통해 가상 화폐 거래에 관심 많은 이들을 현혹하려는 것으로 보여집니다.[그림 1] 커뮤니티에 올라온 가상화폐 설명서 게시물 만일 사용자가 호기심에 게시물에 표기된 주소로 접속할 경우, 가상 화폐 거래소 화면과 함께 취약점이 포함된 스크립트가 은밀히 실행됩니다. [그림 2] 가상화페 거래소로 위장한 화면 마치 가상화폐 거래소 화면처럼 교묘하게..

악성코드 분석 리포트 2018. 4. 23. 10:57

안녕하세요? 이스트시큐리티입니다. 2014년 독일 및 오스트리아 은행 고객을 대상으로 처음 등장한 EMOTET 악성코드가 최근 다시 등장하고 있습니다. EMOTET 악성코드는 사용자 PC를 감염시키고, C&C 통신을 통해서 시스템 정보와 금융 정보를 탈취하는 등의 악성 행위를 시도합니다. EMOTET 악성코드는 주로 이메일을 통해 유포됩니다. 공격자는 이메일 안에 악의적인 스크립트가 포함된 문서 파일을 첨부하거나, 악성코드가 다운로드되는 URL링크를 삽입하는 방식을 사용합니다. 또한 사용자가 관심 가질만한 거래 및 청구서 관련 내용을 포함하여 의심을 최소화하고 악성코드에 감염되도록 유도합니다. 본 보고서에서는 EMOTET 악성코드를 상세 분석 하고자 합니다. 악성코드 상세 분석 1. EMOTET 악성코드..

악성코드 분석 리포트 2018. 4. 23. 08:32

[4월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 민원확인2 [Web발신] [CJ대한통운]01/06(등기택배 회송처리).재확인바람 주소지확인 출처 : 알약M기간 : 2018년 4월 14일 ~ 4월 20일

안전한 PC&모바일 세상/스미싱 알림 2018. 4. 20. 17:30

RansSIRIA라 불리는 새로운 랜섬웨어가 발견되었습니다. 해당 랜섬웨어는 사용자의 파일을 암호화하고 랜섬을 요구하는데, 랜섬 지불액이 시리아 난민을 구제하는 데 사용될 것이라고 안내합니다. 이 랜섬웨어는 WannaPeace 랜섬웨어의 변종으로, 브라질 사용자를 공격 대상으로 합니다. MalwareHunterTeam에 따르면, 이 랜섬웨어가 실행되면 가짜 워드창이 나타나며 사용자의 파일을 암호화할 때 약간의 시간이 소요됩니다. 사용자 PC의 파일들을 암호화 한 후, 다음과 같은 창이 나타나는데 시리아 난민을 구제하기 위한 랜섬머니를 지불하라는 호소문의 내용입니다. 이 랜섬노트는 포르투갈어로 작성되어 있는데, 해당 내용을 영어로 번역하면 다음과 같습니다. [포르투갈어 랜섬노트] [영어로 번역한 랜섬노트]..

국내외 보안동향 2018. 4. 20. 16:05

Over 65,000 Home Routers Are Proxying Bad Traffic for Botnets, APTs 봇넷 운영자들과 APT 그룹들이 모든 현대의 라우터들에 포함 된 UPnP 프로토콜을 악용해 악성 트래픽을 프록싱하고 자신들의 실제 위치를 숨기는 것으로 나타났습니다. Akamai가 지난 월요일 발행한 보고서에서는 악성 공격자들이 은밀한, 또는 불법 행위를 위해 최소 65,000개의 라우터를 악용하여 프록시 네트워크를 생성했다고 밝혔습니다. 공격자들, UPnP 프로토콜 악용 Akamai에 따르면, 공격자들은 로컬 Wi-Fi가 활성화 된 기기와 쉽게 상호작용하고 인터넷에 포트와 서비스를 포워딩 할 수 있도록 하는 기능인 UPnP 프로토콜을 악용하고 있다고 밝혔습니다. UPnP 프로토콜은 ..

국내외 보안동향 2018. 4. 20. 14:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2018년 04월 16일 경, 특정 국가지원을 받는 것으로 예상되는 공격자(State-sponsored Actor)가 MS Office 문서 파일 취약점 (CVE-2017-11882)을 활용해 한국인 대상의 스피어 피싱(Spear Phishing) 공격시도 정황을 포착했습니다. ESRC에서는 이 공격자가 '▣오퍼레이션 김수키(Kimsuky)' 캠페인과 연계된 위협 조직으로 판단하고 있습니다. 또한, 유사 변종 악성코드에서는 "전혁진", "김송철" 이라는 한글식 이름이 발견된 바 있습니다. 해당 위협그룹은 대략 2010년부터 2014년 전후로 왕성한 활동을 했습니다. 공격자는 주로 해외 등지에서 외교 및 안보기구 소속으로 활동하는 현지의 ..

악성코드 분석 리포트 2018. 4. 19. 23:16

이번주 화요일, 구글은 Chrome 66을 공개하였습니다. Chrome 66 에서는 62개의 결함을 패치 하였을 뿐만 아니라, 2016년 6월 1일 이전에 발급한 웹 사이트의 인증서를 더 이상 신뢰하지 않기로 하였습니다. 구글이 시만텍 인증서를 신뢰하지 않겠다는 것은 이미 예견된 일입니다. (▶참고 : 구글 크롬, 더 이상 시만텍 SSL 인증서를 신뢰하지 않기로 결정) 시만텍은 오랫동안 인증서를 부적절하게 발급하였으며, 구글의 경고 이후에도 인증서에 관한 문제점을 개선하지 않았습니다. 그래서 구글은 단계적으로 시만텍 인증서를 단계적으로 신뢰하지 않기로 결정하였으며, 이번에 공개된 Chrome66에서 2016년 6월 1일 이전에 시만텍의 기존 PKI에서 발행한 웹 사이트 인증서를 삭제하였습니다. 올 가을에..

국내외 보안동향 2018. 4. 19. 17:43