안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다. Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다. ‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화..

악성코드 분석 리포트 2023. 3. 23. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 유명은행 보안메일을 사칭하여 계정정보 탈취를 시도하는 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 이번 공격은 "[**은행,거래통지]_당발송금-국내자금이체 전문통지"라는 제목의 피싱 메일을 통해 유포되었습니다. 피싱 메일은 은행에서 발송하는 보안 메일과 유사하게 제작되어있으며, "보안메일.html" 파일이 첨부되어 있습니다. 공격자는 발송자 정보를 실제 해당 은행 메일 발송 정보로 조작하여 사용자의 실행을 유도하였습니다. 사용자가 피싱 메일 내 첨부되어 있는 "보안메일.html" 파일을 실행하면 주민번호 앞 6자리를 입력하라는 실제 보안메일과는 다르게 계정 비밀번호를 요구합니다. 만일 사용자가 해당 페이지에 비밀번호를 입력한..

악성코드 분석 리포트 2023. 3. 23. 14:01

MagicLine에서 오버 플로우 취약점이 발견되어 사용자들의 빠른 패치가 필요합니다. MagicLine이란 드림시큐리티에서 개발한 Non-PlugIn 기반의 인증서 인증, 전자서명, 웹구간 암복호화 솔루션입니다. MagicLine 4.0에서 입력값 검증 미흡으로 인해 버퍼오버플로우가 발생하며, 공격자는 해당 취약점을 악용하여 악성코드 실행 등 다양한 악성 행위를 할 수 있습니다. 사용자 여러분들께서는 빠른 패치를 권고 드립니다. 영향받는 버전 MagicLine 4.0 1.0.0.1 ~ 1.0.0.26 패치버전 MagicLine 4.0 1.0.0.27 * MaginLineNX가 설치되어 있는 경우 삭제 후 재설치 ※ 버전확인방법 (1) [내 컴퓨터] – [로컬 디스크(C:\)] – [Program Fil..

국내외 보안동향 2023. 3. 22. 10:35

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 03월 12일~03월 18일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 88건이고 그중 악성은 42건으로 47.73%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 41건 대비 42건으로 1건이 증가했습니다. 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 23건(악성 11건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 42건 중 Attach-Phishing형이 54.8%로 가장 많았고 뒤이어 Attach-Malware형..

악성코드 분석 리포트 2023. 3. 21. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 3월 20일, 대한민국 국가정보원(NIS)와 독일 헌법보호청(BfV)이 합동 권고문을 발표하였습니다. 이번 합동 권고문은 킴수키(Kimsuky) 해킹조직(탈륨, 벨벳천리마 등으로도 불림)이 한반도ㆍ대북 전문가를 공격하기 위해 구글에서 제공하는 브라우저 및 앱 스토어 서비스를 악용한 사례에 대해 공개하여 사이버 공격에 대한 사용자들의 경각심 고취를 목적으로 하고 있습니다. 킴수키 해킹 조직은 이번 공격에서 2가지 공격 수법을 사용하였습니다. 1) 크롬미움 브라우저 확장프로그램(Extension)을 악용한 구글메일 절취 스피어피싱 이메일을 통해 악성 크로미움 확장프로그램 설치를 유도한 후, 피해자가 G메일 로그인시 자동으로 확장프로그램이 동작..

악성코드 분석 리포트 2023. 3. 21. 08:42

이스트시큐리티는 3월 29일(수)부터 31일(금)까지 KINTEX에서 열리는 eGISEC 2023 전자정부 정보보호 솔루션페어에 참가하여 보다 확장된 보안 대응 방법을 제시합니다. 이스트시큐리티 부스에 오시면 문서중앙화 솔루션 시큐어디스크, 인터넷디스크와 악성코드 위협 대응 솔루션 Threat Inside와 결합하여 이상적인 엔드포인트 보안 체계를 구축하는 알약 EDR을 직접 확인하실 수 있습니다. 또한 이번 eGISEC 2023에서는 이스트시큐리티가 직접 진행하는 여러 세미나도 준비되어 있습니다. 이스트시큐리티 전시 부스(#S07) 내에서 매일 2회 진행되는 미니 세미나와, 전시회 장내에 따로 마련된 컨퍼런스 룸에서 진행되는 문서중앙화 플랫폼 구축을 통한 지적 자산의 활용 및 통합관리 방안 세션 발표를..

이스트시큐리티 소식 2023. 3. 20. 13:00

Microsoft는 3월 패치 화요일에 83개의 취약점을 수정하였습니다. 83개의 취약점에는 2개의 제로데이 취약점이 포함되어 있습니다. Microsoft Outlook 권한 상승 취약점(CVE-2023-23397) 공격자는 특별히 제작된 이메일을 사용자에게 발송하여 해당 취약점을 트리거 할 수 있습니다. Windows SmartScreen 우회 취약점(CVE-2023-24880) 해당 취약점을 악용하면 공격자는 MOTW를 우회할 수 있습니다. 패치된 2개의 제로데이 취약점은 이미 공격자들에게 악용되고 있는 것으로 밝혀져 사용자들의 빠른 패치가 요구됩니다. 3월 전체 보안업데이트 항목은 여기서 확인하실 수 있습니다. 사용자 여러분들은 안전한 사용환경을 위하여 보안업데이트를 진행해 주시기 바랍니다.

국내외 보안동향 2023. 3. 17. 16:44

[3월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [Web발신]**국민보험공단**신체검사 진단서 전송완료. 내용확인 hxxp://xxx.xxxx[.]wtf 2 [Web발신][건강검진센터]신체검사 진단서 전송완료.내용확인 hxxp://xxx.xxxx[.]wtf 3 [Web발신][건강보험공단]건강검진 보고서 전송완료.내용확인 hxxp://xxx.xxxx[.]wtf 4 [Web발신][국민건강검진]건강검진 보고서 전송완료.내용확인 hxxp://xxx.xxxx[.]wtf 5 [Web발신]배송불가&l;도로명불일치&g;앱 다운로드..

안전한 PC&모바일 세상/스미싱 알림 2023. 3. 17. 16:33