안녕하세요. ESRC(시큐리티 대응센터)입니다. 법원명령을 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 '법원 명령' 제목으로 유포되었으며, ESRC에서는 21년 말에도 유사한 피싱 메일에 대해 주의를 당부한 바 있습니다. ▶ 법원명령을 위장한 피싱메일을 통해 유포되는 Formbook 악성코드 주의! 이번에 발견된 이메일 역시 기존에 공개하였던 피싱 메일과 내용, 유포방식 등이 유사한 것으로 보아 동일 공격자 혹은 조직의 소행으로 추정됩니다. 피싱 메일은 마치 번역기를 돌린것 같은 어색한 문구로 작성되어 정독을 해보아도 이해하기 어렵습니다. 다만, 실제 로펌 이메일 계정으로 발송되었으며, ''법원', '법원명령', '판사' 등의 단어가 본문 내 포함되어 있어..

악성코드 분석 리포트 2022. 6. 7. 16:41

[6월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국제발신] 고객님 [ebay] KRW 1.218.800 결제완료 승인번호: 5xx3 본인 아닐시 고객센터 문의: 050-xxxx-xxxx 2 [국외발신] 해외구입 1,047,420원 승인완료 인증번호:5623 상품이 정상출고중입니다 본인아닐시 문의전화:02-xxxx-xxxx 3 대한택배, 고객 물품 배송 불가 주소 오류 즉시 변경,[xx.xxxxxx[.]com/] 4 대한택배, 고객 상품 배송 불가 "주"소 오류 즉시 정정:[hxxps://han[.]gl/xxxxx]..

안전한 PC&모바일 세상/스미싱 알림 2022. 6. 7. 15:45

QBot now pushes Black Basta ransomware in bot-powered attacks Black Basta 랜섬웨어가 기업 환경에 대한 초기 액세스 권한을 얻기 위해 QBot과 협력하고 있는 것으로 드러났습니다. QBot(QuakBot)은 은행 크리덴셜, 윈도우 도메인 크리덴셜을 훔치고 감염된 장치에 추가 악성코드 페이로드를 전달하는 윈도우 악성코드입니다. Qbot은 일반적으로 악성 첨부 파일이 포함된 피싱 공격을 통해 피해자를 감염시킵니다. 이는 뱅킹 트로이 목마로 시작했지만 MegaCortex, ProLock, DoppelPaymer, Egregor를 포함한 다른 수 많은 랜섬웨어 조직과 협업해 왔습니다. Black Basta, Qbot과 협력해 Black Basta는 비교적..

국내외 보안동향 2022. 6. 7. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 29일~06월 04일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 79건이고 그중 악성은 36건으로 45.57%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 39건 대비 36건으로 3건이 감소했습니다. 일일 유입량은 하루 최저 6건(악성 1건)에서 최대 17건(악성 9건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 36건 중 Attach-Phishing형이 47.2%로 가장 많았고 뒤이어 Attach-Malware형이..

악성코드 분석 리포트 2022. 6. 7. 11:37

Windows zero-day exploited in US local govt phishing attacks 유럽 ​​정부와 미국 지방 정부가 치명적인 윈도우 제로데이 취약점인 Follina를 악용하도록 설계된 악성 RTF 문서를 통한 피싱 캠페인의 공격을 받고 있었던 것으로 나타났습니다. 기업 보안 회사인 Proofpoint의 보안 연구원들은 이와 관련하여 아래와 같이 밝혔습니다. "Proofpoint는 고객(유럽 정부 및 미 지방 정부) 10명 미만을 노리며 Follina/CVE_2022_30190을 악용하려 시도하는 피싱 캠페인을 차단했습니다.” 공격자는 급여 인상을 약속하는 미끼 문서를 통해 직원들이 이를 열도록 속였습니다. 해당 문서는 최종 페이로드로 Powershell 스크립트를 배포합니다. ..

국내외 보안동향 2022. 6. 7. 09:00

SideWinder Hackers Use Fake Android VPN Apps to Target Pakistani Entities SideWinder로 알려진 공격자가 파키스탄 공공 및 민간 부문 기관에 피싱 공격을 실행하기 위해 사용되는 악성코드 무기고에 새로운 커스텀 툴을 추가했습니다. 싱가포르에 본사를 둔 사이버 보안 회사인 Group-IB는 지난 수요일 보고서를 통해 아래와 같이 밝혔습니다. "공격자의 주요 공격 벡터는 파키스탄 정부 기관 및 조직의 정식 알림 및 서비스를 모방하는 이메일이나 게시물의 피싱 링크입니다.” SideWinder(Hardcore Nationalist, Rattlesnake, Razor Tiger, T-APT-04로도 알려짐)는 파키스탄과 아프가니스탄, 방글라데시, 네팔..

국내외 보안동향 2022. 6. 3. 14:00

Atlassian Confluence에서 원격코드실행 취약점(CVE-2022-26134)이 발견되었습니다. Atlassian Confluence Server 및 Data Center 모두 해당 취약점의 영향을 받으며, Atlassian Cloud(atlassian.net을 통해 액세스 가능)는 해당 취약점의 영향을 받지 않는 것으로 확인되었습니다. 현재(3일) 해당 취약점은 패치가 존재하지 않는 제로데이 상태로, 사용자 여러분들은 임시조치를 통하여 위험을 완화하시기를 권고 드립니다. CVE번호 CVE-2022-26134 영향받는 버전 Confluence Server 7.18.0 버전 Confluence Server 및 Data Center 7.4.0 이상 버전 * 아직 테스트가 완료되지 않은 다른 버전에..

국내외 보안동향 2022. 6. 3. 13:50

Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 이용하여 MSDT를 호출할 때 원격코드실행 취약점이 발견되었습니다. 해당 취약점을 악용하면 공격자는 호출 응용 프로그램의 권한으로 임의 코드 실행이 가능하며, 사용자 권한이 허용하는 컨텍스트에서 프로그램 설치, 데이터 열람, 변경, 삭제 혹은 새 계정 생성이 가능합니다. 아직 패치는 공개되지 않았으며, 이미 취약점 세부 내용과 PoC가 공개되어 있어 사용자 여러분들의 빠른 조치를 권고 드립니다. CVE번호 CVE-2022-30190 영향받는 버전 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installa..

국내외 보안동향 2022. 6. 3. 10:36