All Ledger hardware wallets vulnerable to man in the middle attack 최근 가상화폐 하드웨어 지갑 "렛저(Ledger)"에서 취약점이 발견되었습니다. 범죄자들은 이미 해당 취약점을 이용하여 Ledger 사용자에게 피싱 사이트가 포함된 지갑 주소를 전달하여 지갑에 보관되어 있는 가상화폐를 탈취하고 있는 것으로 확인되었습니다. 하드웨어지갑은 가상화폐를 저장하기 위한 가장 안전한 수단으로 각광받고 있습니다. 하지만 이번의 발견된 Ledger의 취약점은 하드웨어 지갑이라도 가상화폐에 대한 안전을 보장할 수 없다는 점을 증명해 주었습니다. 2월 3일, Ledger은 공식 홈페이지를 통해 설계상의 문제가 있음을 밝혔으며, 이번 취약점에 대한 상세 내용을 보고서 형태..

국내외 보안동향 2018. 2. 22. 16:18

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28

Coldroot RAT cross-platform malware targets MacOS without being detected 콜드루트(Coldroot) RAT는 MacOS를 타겟으로 하는 크로스플랫폼 악성코드 입니다. 이 악성코드는 High Sierra 이전 버전의 MacOS 시스템에서 키로거로 동작하며 사용자의 비밀번호와 인증 정보를 탈취합니다. 하지만 현재 백신으로는 탐지가 불가합니다. 콜드루트 RAT에 대해 2017년 1월 언더그라운드 마켓에 상세 분석 자료가 공개되었고, 일부 버전은 깃허브에서 거의 2년 동안 판매되고 있습니다. 보안 전문가 Wardle에 따르면, 이 악성코드는 애플 오디오 드라이버 “com.apple.audio.driver2.app”로 위장하고 있으며, 클릭하면 사용자에게 ..

국내외 보안동향 2018. 2. 21. 14:03

Hackers use Google Ads to steal $50 million of Bitcoin Talos는 보고서에서, 우크라이나 해커조직인 Coinhoarder이 가상화폐 지갑인 Blockchain.info를 탈취하여 5000만달러가 넘는 가상화폐 수익을 얻었다고 밝혔습니다. 이 보고서에서는 해커들이 사용한 공격방식을 소개하였는데, 그 방식은 매우 간단하였습니다. 해커가 구글 검색엔진 중, 가상화폐와 관련된 키워드 광고를 구매한 후, 사용자들의 검색결과를 감염시켜 사용자들의 가상화폐 지갑 내 자산을 탈취합니다. 이는 즉, 사람들이 Google에서 "블록체인" 혹은 "가상화폐 지갑"등 키워드를 검색할 때, 정상적인 홈페이지를 위장한 악성 홈페이지의 링크를 보게되는 것입니다. 악성링크들은 “blockc..

국내외 보안동향 2018. 2. 20. 15:06

해킹그룹이 젠킨스(Jenkins) 서버에 “JenkinsMiner”라 불리는 모네로 채굴 악성코드를 설치하여 3백40만 달러를 탈취한 사실이 밝혀졌습니다. 해커들은 여러 버전의 윈도우에서 XMRig 채굴 악성코드를 실행시켜 모네로 3백만 달러 이상을 탈취하였으며, 강력한 젠킨스 CI(Continuous Integration) 서버를 대상으로 공격을 수행함으로써 보다 많은 암호 화폐를 획득할 수 있었다고 덧붙였습니다. 젠킨스 서버는 가장 인기있는 오픈소스 자동화 서버로서 CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다. 젠킨스는 개발자들에게 젠킨스 애플리케이션의 빌드, 테스트, 배포를 지원하고, 전 세계 적으로 133,000개 이상의 서버와 백만명 이상의 사용자를 보유하고 있습니다. 연구원들에 따르면..

국내외 보안동향 2018. 2. 19. 17:12

Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다. 해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다. 사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다. 만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코..

국내외 보안동향 2018. 2. 19. 13:28

マルウェア「Mirai」亜種の活動減退、原因不明も要警戒—IIJ 최근 일본의 인터넷 이니시어티브(IIJ)는 IoT악성코드 ‘Mirai’ 변종의 일본에서 활동이 대폭 감소했다고 밝혔습니다. 감소한 원인에 대해서는 아직 확인이 되지 않았습니다. Mirai 변종 유니크 송신원 주소 수의 추이 (일별/1IP당) (출처: IIJ ) 2016년 10월에 소스코드가 공개된 Mirai에는 ‘Satori’나 ‘Akuma’ 등 다양한 변종이 존재하고 있습니다. 이 변종들은 2017년 11월부터 일본 국내외에서 대규모 감염활동이 확인되었습니다. 하지만 IIJ에 따르면, 1월의 Mirai변종에 의한 것으로 보이는 다른 IoT기기에 대한 감염을 목적으로 한 일본발 스캔이 2017년 10월 이전의 수준으로 감소했다고 밝혔습니다. 한편..

국내외 보안동향 2018. 2. 14. 17:38

수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었습니다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격입니다. 이 공격방식은 멀버타이징 방식을 이용하여 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었습니다. 공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸습니다. 보안업체는 ’대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다’고 밝혔습니다. 일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있습니다. 즉 앱에 ..

국내외 보안동향 2018. 2. 13. 15:08