안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2017년 처음 발견된 Bahamut 악성 앱은 현재까지 꾸준하게 기능을 업데이트하여 공격을 이어오고 있습니다. 최근 발견된 악성 앱은 피싱 웹사이트를 통해 유포되고 있습니다. 악성 앱은 위의 그림과 같이 보안 채팅 앱을 제공하는 사이트로 위장하여 피해자를 기만하고 있습니다. 이 페이지의 내용에 속은 피해자는 악성 앱을 다운로드해 설치하게 됩니다. Spyware.Android.Agent 악성 앱은 보안 채팅 앱으로 위장하고 있으며 피싱 사이트를 통해 배포되고 있습니다. 이외에도 공격자들은 뉴스 페이지나 소셜 네트워크 사이트를 사칭하기도 합니다. 그러나 배포하는 악성 앱은 동일한 악성 행위를 수행하도록 제작되어 있습니다. Bahamut와 같..

악성코드 분석 리포트 2022. 7. 22. 09:00

7월 20일, Atlassian은 Questions for Confluence 애플리케이션에 하드코딩된 자격 증명 취약성과 여러 Atlassian 제품에 연결된 자사 및 타사 애플리케이션 모두에서 서블릿 필터 우회가 존재한다는 보안 권고를 발표했습니다 . 취약점 내용 CVE-2022-26318 Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱은 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용하여 confluence-users 그룹에 Confluence 사용자 계정을 생성합니다. 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자는 이를 악용하여 Confluence에 로그인하고 confluence-users 그룹의 사..

국내외 보안동향 2022. 7. 21. 09:54

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근, 소프트웨어 위장이나 유튜브 등을 통해 ‘Spyware.Infostealer.RedLine(이하 ‘RedLine’)’가 지속적으로 유포되는 것으로 알려져 사용자들의 주의가 필요합니다. 해당 악성코드는 PC 정보 탈취 및 C&C로 전송하는 기능을 수행하며, 추가로 페이로드 다운로드/설치될 수 있습니다. ‘RedLine’ 악성코드는 사용자 PC 정보 탈취/전송 및 추가 페이로드 실행 기능을 가진 전형적인 ‘InfoStealer’입니다. 다만, 특징적으로 일부 랜섬웨어처럼 동구권 국가를 확인하는 코드, 추가 페이로드 다운로드 기능이 있는 점은 주목할 만합니다. 만일 기업체에서 이러한 악성코드에 감염이 되는 경우, 크리덴셜 탈취 혹은 암호화..

악성코드 분석 리포트 2022. 7. 21. 09:00

Apache Spark 셸 커맨드 인젝션 취약점(CVE-2022-33891)이 발견되었습니다. Apache Spark UI는 구성 옵션 spark.acls.enable을 통해 ACL을 사용하도록 설정할 수 있는데, 인증필터를 사용하면 사용자에게 응용 프로그램을 보거나 수정할 수 있는 접근 권한이 있는지 확인할 수 있습니다. ACL이 사용 가능한 경우 HttpSecurityFilter의 코드 경로를 통해 다른 사용자가 임의의 사용자 이름을 사칭하여 수행할 수 있도록 허용하며, 이를 통해 악의적인 사용자는 권한 검사 기능에 접근하여 입력을 기반으로 하는 유닉스 셸 명령을 빌드하고 실행할 수 있습니다. 영향받는 버전 Apache Spark 3.0.3 이전버전 Apache Spark 3.1.1~3.1.2 및 3..

국내외 보안동향 2022. 7. 20. 15:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 비너스락커(VenusLocker) 조직은 최근 몇 년 동안 국내 불특정 다수를 대상으로 꾸준히 입사지원서와 저작권 침해 등 내용의 메일을 통해 랜섬웨어를 유포하고 있습니다. 금일 오전, ESRC는 LockBit 랜섬웨어가 포함된 악성 메일이 대량으로 유포되는 정황을 포착하여 사용자 여러분들의 각별한 주의를 당부 드립니다 . 이번 피싱 메일 역시 기존과 마찬가지로 정상적인 이메일 처럼 보이기 위하여 그럴듯한 이메일 내용과 함께 압축파일이 첨부되어 있으며, 압축파일 내에는 MS워드파일을 위장한 .exe 파일이 포함되어 있습니다. 만일 사용자가 해당 파일을 MS워드파일로 오인하여 실행한다면, LockBit 랜섬웨어에 감염되게 됩니다. LockB..

악성코드 분석 리포트 2022. 7. 19. 13:42

안녕하세요? 이스트시큐리티입니다. 오늘은 알약M 사용자들을 위해 [내부 저장 공간] 기능이 리뉴얼되었다는 소식을 전해드립니다. 알약M은 스마트폰 내 불필요한 파일 정리를 위해 [내부 저장 공간] 기능을 제공하고 있는데요. 이번 업데이트를 통해 [내부 저장 공간] 내 [빠른 정리 추천] 기능이 추가되고 내부 디자인 또한 더 편리하게 사용할 수 있도록 달라졌습니다. 지금 바로, 새롭게 달라진 [내부 저장 공간] 디자인과 기능 추가 사항을 알약M이 알려드립니다! 1. [내부 저장 공간] 기능, 어떻게 작동하나요? [내부 저장 공간] 기능은 스마트폰에 저장된 원본 파일을 종류별로 확인하고 관리할 수 있는 기능입니다. 이미지, 동영상, 오디오, 앱 등 원본 파일을 직접 삭제하여 스마트폰 용량을 빠르게 확보할 수 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2022. 7. 19. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 07월 10일~07월 16일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 109건이고 그중 악성은 31건으로 28.44%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 21건 대비 31건으로 10건이 증가했습니다. 일일 유입량은 하루 최저 2건(악성 1건)에서 최대 74건(악성 19건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 31건 중 Attach-Malware형이 67.7%로 가장 많았고 뒤이어 Attach-Phishin..

악성코드 분석 리포트 2022. 7. 18. 17:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 매그니베르 랜섬웨어가 타이포스쿼팅 방식을 통해 또 다시 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 웹 주소창에 도메인을 입력하는 과정에서 철자 누락이나 오타가 발생하여 공격자가 만들어 놓은 페이지로 접속하면, 여러 사이트로 리디렉션 되며 최종적으로 MS.Upgrade.Database.Cloud이름의 파일이 자동으로 내려옵니다. 기존에 유포하였던 동일한 파일명을 사용하였지만, 기존에 .msi 파일 형태가 아닌 .zip 파일 형태로 변경되었습니다. 브라우저 쿠키값 확인을 통하여 사용자의 접근이력을 확인하기 때문에, 한번 접속하여 파일이 내려온 사용자가 재접속 시 정상적인 임의의 페이지로 리디렉션 됩니다. 압축파일 내에는 .msi 파..

악성코드 분석 리포트 2022. 7. 18. 14:33