안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 얼마 전, 해킹된 광고서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어에 대해 주의를 당부한 적이 있습니다. ▶ 해킹된 광고 서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어 주의! 해당 공격은 현재까지 지속중이며, 불특정 다수를 대상으로 랜섬웨어를 내려주고 있어 여전히 위협적입니다. 그리고 최근, 파일명을 변경하여 사용자들의 의심을 피하고 실행을 유도하고 있는 점이 포착되었습니다. 기존의 경우에는 사용자의 접속 횟수와는 상관 없이 매번 Antivirus.Upgrade.Database.Cloud의 동일한 파일명의 랜섬웨어 파일을 내려주었는데, 많은 사용자들이 해당 파일이 랜섬웨어 파일이라는 것을 인지하여 감염률이 낮아졌고, ..

악성코드 분석 리포트 2022. 8. 5. 14:50

WPS Office 2019 개인용, 기업용에서 원격코드실행(RCE) 제로데이 취약점이 발견되었습니다. WPS Office란 중국에서 개발된 무료 문서 작업 소프트웨어로, 유료인 Microsoft Office의 대체 프로그램으로 많이 사용되고 있습니다. 2022년도까지 4억 9400만명 이상의 월간 활성 사용자를 보유하고 있습니다. 공격자는 정상처럼 위장한 악성 문서를 전송하고 사용자의 열람을 유도하며, 만일 사용자가 해당 파일을 실행하면 자동으로 스크립트를 로드하고 악성코드를 실행하여 사용자 PC를 원격에서 할 수 있습니다. 해당 취약점은 PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX등 형식의 파일들로 트리거 할 수 있으며, 현재 야생에서 해당 제로데이 취약점을 악용하는 정황이 포착되..

국내외 보안동향 2022. 8. 4. 11:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직 혹은 비너스락커 조직을 모방하는 조직이 최근 새로 업데이트 한 LockBit 랜섬웨어 3.0 버전의 유포를 시작하였습니다. LockBit 3.0은 올해 7월 초에 등장하였지만 국내에서는 여전히 LockBit 2.0 버전이 유포되고 있었습니다. 하지만, 금일 LockBit 3.0 버전의 유포가 확인되어 사용자들의 각별한 주의가 필요합니다. 유포 방식은 기존과 동일하게 입사지원서를 위장한 피싱 메일을 통해 유포중이며, 이력서를 위장한 랜섬웨어 파일이 첨부되어 있습니다. 기존과 마찬가지로 국내사용자들을 대상으로 공격을 진행중이며, 국내 맞춤형으로 한글(HWP)파일 아이콘을 ..

악성코드 분석 리포트 2022. 8. 2. 10:48

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 07월 24일~07월 30일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 80건이고 그중 악성은 27건으로 33.75%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 28건 대비 27건으로 1건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 23건(악성 8건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 27건 중 Attach-Malware형이 63.0%로 가장 많았고 뒤이어 Attach-Phishing형이..

악성코드 분석 리포트 2022. 8. 1. 17:23

미국 사이버 보안 및 인프라 보안국(CISA)가 CVE-2022-26318라 명명된 앱 하드 코딩된 자격 증명 취약점을 알려진 악용된 취약점(Known Exploited Vulnerabilities)에 추가하였습니다. 알려진 악용 취약점 카탈로그란 CISA가 악용 되는 것으로 식별했거나 실제 공격자가 사용한 취약점 목록입니다. 이번에 추가된 CVE-2022-26318 취약점은 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱은 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용하여 confluence-users 그룹에 Confluence 사용자 계정을 생성하는데, 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자는 이..

국내외 보안동향 2022. 8. 1. 11:07

[7월 네 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국제발신] Paymall [해외배송] 고객님 7월26일 104,7420원 결제완료 본인아닐시 신고 물류센터:0502-xxxx-xxxx 2 [국제발신] [요청하신 결제금액] -KRW 2,592,400원 정상처리 되었습니다 본인결제아닐시 050-xxxx-xxxx 3 [대한통운] 송장번호(5901******96):주: 소불일치로 물품보관중입니다. hxxps://bit[.]ly/xxxxxx 4 한진“주”소 지불일치로.인하여도착예.정인상품을 "보"관중.입니다. bit[.]ly..

안전한 PC&모바일 세상/스미싱 알림 2022. 7. 29. 17:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국의 국방·안보 분야 논문심사 및 행사 내용처럼 위장한 사이버 위협 활동이 다수 포착되어 관련자 여러분들의 각별한 주의가 필요합니다. 해당 공격은 지난 월요일에 수행된 것으로 확인되었으며, 실존하는 특정 대학과 연구소의 업무 요청 내용처럼 위장했습니다. 공격자는 전형적인 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 다가오는 행사의 세부계획 초안 및 논문심사 워드(DOC) 문서 파일처럼 수신자를 현혹했습니다. ESRC의 분석결과 해당 문서는 실제 이메일에 첨부된 첨부파일 형태가 아니라, 특정 웹 사이트(files.cllouds.great-site[.]net)로 접속 후 악성 워드 파일이 내려지는 것..

악성코드 분석 리포트 2022. 7. 29. 11:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 다양한 키워드를 활용하여 이루어지던 스미싱 공격들이 올해 초부터 효과가 좋은 택배와 건강검진 키워드를 사용하는 스미싱 공격으로 집중되고 있습니다. 1월부터 스미싱 공격은 택배, 건강검진 키워드를 활용하는 공격이 주류를 이루고 있으며 해외 결제를 위장한 보이스피싱 공격이 꾸준히 이어지고 있습니다. 6월의 주요 스미싱 공격은 택배를 키워드로 하는 스미싱이 주도하고 있습니다. 택배를 키워드로 하는 스미싱 공격은 52.44%로 5월 대비 5.09% 소폭 감소했습니다. 뒤를 이어 건강검진을 키워드로 하는 스미싱 공격이 40.24%를 차지하고 있으며 5월 대비 11.02% 증가했습니다. 그리고 보이스피싱을 유도하는 내용의 스미싱 공격이 7.32%를 ..

악성코드 분석 리포트 2022. 7. 28. 16:53