수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었습니다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격입니다. 이 공격방식은 멀버타이징 방식을 이용하여 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었습니다. 공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸습니다. 보안업체는 ’대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다’고 밝혔습니다. 일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있습니다. 즉 앱에 ..

국내외 보안동향 2018. 2. 13. 15:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 이른바 김수키(Kimsuky) 오퍼레이션은 2014년 한국의 보안업체 안랩(AhnLab) 등을 통해서도 널리 알려진 바 있습니다. 그런 가운데 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있어 각별한 주의가 요망됩니다. ▶ The “Kimsuky” Operation: A North Korean APT?▶ APT 공격 - 새로운 "Kimsuky" 악성코드 등장 약 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있습니다. ■ 오퍼레이션 김수키(Operation Kimsuky) 공격의 은밀한 공..

악성코드 분석 리포트 2018. 2. 12. 20:47

최근 Fastlane Tools를 개발한 Felix Krause는, 어떠한 Mac app이든지, 어떠한 샌드박스가 있든 없든, 모두 이 기능을 이용하여 사용자의 화면정보를 탈취할 수 있다고 밝혔습니다. 해당 취약점은 CGWindowListCreateImage 를 악용하여 사용자의 허가 없이 화면을 캡쳐할 수 있습니다. 해당 취약점을 악용하면 다음과 같은 악성행위를 할 수 있습니다. - 비밀번호 관리프로그램에서 비밀번호와 비밀키 탈취- 민감한 코드 및 API 비밀키 등 데이터 읽어오기- 사용자가 Mac에서 열어보는 이메일과 각종 정보들 엿보기- 사용자가 사용하는 Web 서버 확인- 사용자의 각종 개인정보 Krause는 해당 취약점을 작년 11월에 애플측에 제보하였지만, 현재까지 해결되지 않아 자신의 블로그..

국내외 보안동향 2018. 2. 12. 17:42

최근 PHP GD 라이브러리에서 서비스거부 취약점이 발견되었습니다. 해당 취약점으로 php의 서버 CPU 사용률을 순간적으로 100%로 만들어 버릴 수 있습니다. 취약점 번호 CVE-2018-5711 취약점 원인 GD 라이브러리의 gf_gif-in.c에는 정수서명오류가 존재하여, 특별히 조작된 GIF 파일을 이용한다면 php 함수의 imagecreatefromgif 또는 imagecreatefromstring가 불러들여질 때 무한루프를 발생시킬 수 있습니다. 취약점은 ext/gd/libgd/gd_gif_in.c 코드에 존재합니다. do { sd->firstcode = sd->oldcode = GetCode(fd, &sd->scd, sd->code_size, FALSE, ZeroDataBlockP); } ..

국내외 보안동향 2018. 2. 9. 11:18

SCADA 시스템을 기반으로 하는 채굴 악성코드 공격이 발견되었습니다. Radiflow 연구원들은 모네로 화폐 채굴을 위해 수도 사업소의 OT(Operational Technology, 운영기술) 네트워크를 공격하는 악성코드에 대해 분석했습니다. 해당 악성코드는 네트워크 장비의 숨김 모드 상태에서 실행되도록 제작되었고 공격 대상 장비의 보안 툴 기능도 무력화시켜 채굴 작업을 가능한 오래 지속시킵니다. 이제까지는 OT 네트워크의 위협으로 랜섬웨어 공격이 주를 이루었지만, 앞으로는 이 새로운 채굴 악성코드가 OT 네트워크에 더욱 위협이 될 것으로 우려됩니다. 분석을 통해 발견된 감염 증상으로는 비정상적인 HTTP 통신, OT 네트워크의 토폴로지 변경, 악성 IP 연결 시도 등이 있습니다. 출처 :https:..

국내외 보안동향 2018. 2. 9. 11:00

[2월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 2018.2.10 오전 11시 안내확인2 [Web발신] 예식일시:2018.2.18오전11시30분 오시는길 출처 : 알약M기간 : 2018년 2월 5일 ~ 2월 9일

안전한 PC&모바일 세상/스미싱 알림 2018. 2. 9. 09:38

Unpatched DoS Flaw Could Help Anyone Take Down WordPress Websites 보안연구원은 최근 워드프레스에서 취약점을 발견하였습니다. 해당 취약점을 이용하면, 네트워크 레벨의 DDoS 공격에 필요한 큰 대역폭 없이도, 단일 컴퓨터만으로 워드프레스 웹사이트를 다운시킬 수 있습니다. 해당 취약점 번호는 CVE-2018-6389로, 대부분의 워드프레스가 이 취약점에 영향을 받습니다. 이번에 발견된 취약점은 Wordpress CMS에 내장되어 있는 “load-scripts.php”가 사용자 정의 request를 처리하는 방식에 존재합니다. "load-scripts.php"는 관리자가 여러 JavaScript 파일을 단일 request로 결합하여 홈페이지의 성능이 개선되고..

국내외 보안동향 2018. 2. 8. 15:03

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '국내 포털 사이트의 계정 확인 안내'로 위장한 피싱 메일이 국내에서 유포되고 있어 주의를 당부드립니다. 이번에 발견된 메일은 계정 종료를 방지하기 위해 계정이 유효한지 확인하기 위한 인증 링크를 클릭하라는 내용과 함께 Inv.pdf 첨부 파일을 담고 있습니다. [그림 1] 포털 사이트 계정 확인 안내 피싱 메일 본 메일에서 공격자는 본문의 'Vaildate mail Account, Neglect Shut Down' 링크, 첨부 파일 모두 동일한 사이트로 연결할 수 있도록 하였습니다. 이용자가 호기심에 첨부된 PDF 파일을 다운받아서 실행할 경우, 흐릿한 이미지를 나오면서, 선명하게 보기 위해 View 버튼 클릭을 유도합니다. View 버..

악성코드 분석 리포트 2018. 2. 7. 17:21