Conti ransomware targeted Intel firmware for stealthy attacks 연구원들이 악명 높은 Conti 랜섬웨어 작업에서 유출된 채팅을 분석한 결과 러시아 사이버 범죄 그룹 내부의 팀이 펌웨어 핵을 활발히 개발하고 있음을 발견했습니다. 해당 범죄 조직의 멤버 간 주고 받은 메시지에 따르면 Conti 개발자는 Intel의 ME(관리 엔진)를 활용하여 플래시를 덮어쓰고 SMM(시스템 관리 모드)을 실행하는 PoC 코드를 만들었습니다. ME는 대역 외 서비스를 제공하기 위해 마이크로 OS를 실행하는 인텔 칩셋에 내장된 마이크로컨트롤러입니다. Conti는 활용할 수 있는 문서화되지 않은 기능 및 명령을 찾기 위해 해당 컴포넌트를 난독화했습니다. 여기서부터 Conti는 UE..

국내외 보안동향 2022. 6. 3. 09:00

Experts uncovered over 3.6M accessible MySQL servers worldwide Shadow Server의 연구원들이 인터넷에서 포트 3306/TCP에서 공개적으로 접근 가능한 MySQL 서버 인스턴스를 검색한 결과 전 세계에서 360만 대를 발견했다고 밝혔습니다. 공개적으로 접근이 가능한 MySQL 서버 인스턴스는 소유자의 잠재적 공격 표면이 될 수 있습니다. 해당 연구원들은 보고서를 통해 아래와 같이 밝혔습니다. “이는 Server Greeting으로 MySQL 연결 요청에 응답하는 인스턴스입니다. 놀랍게도, 우리는 IPv4 주소 약 230만 건이 우리의 쿼리에 응답하는 것을 발견했습니다. IPv6 장치 130만 대 이상 또한 우리의 쿼리에 응답했습니다.” 접근이 가능..

국내외 보안동향 2022. 6. 2. 14:00

New XLoader botnet uses probability theory to hide its servers 연구원들이 확률 이론을 통해 명령 및 제어 서버를 숨겨 악성코드 방해하기 어렵도록 하는 XLoader 봇넷 악성코드의 새로운 버전을 발견했습니다. 이로 인해 악성코드의 운영자는 발각된 IP 주소가 차단되어 노드를 잃을 위험 없이 동일한 인프라를 계속해서 사용할 수 있으며, 추적 및 발각될 가능성을 줄일 수 있습니다. XLoader는 원래 Formbook을 기반으로 하는 윈도우 및 macOS를 노리는 인포 스틸러입니다. 이는 2021년 1월에 처음으로 널리 확산되었습니다. 해당 악성코드의 진화를 추적해 온 Check Point의 연구원들은 최신 XLoader 버전 2.5 및 2.6을 샘플링 및 ..

국내외 보안동향 2022. 6. 2. 09:00

Italy warns organizations to brace for incoming DDoS attacks 이탈리아의 CSIRT(Computer Security Incident Response Team)가 지난 월요일 국가 기관을 노린 사이버 공격의 위험이 높다며 긴급 경보를 발행했습니다. 해당 사이버 공격의 유형은 DDoS(분산 서비스 거부)로, 치명적이지는 않지만 서비스 중단을 일으킬 수 있으며, 이로 인해 재정적이나 기타 피해를 입을 수 있습니다. 공격의 징후는 이탈리아에 대한 '전례 없는 대규모' 공격을 실행한 Killnet 그룹의 텔레그램 채널의 게시물에서 발견되었습니다. Killnet은 2주 전 이탈리아를 공격한 친러시아 핵티비스트 그룹으로 오래되었지만 효과적인 DDoS 방식인 'Slow H..

국내외 보안동향 2022. 5. 31. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 22일~05월 28일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 105건이고 그중 악성은 39건으로 37.14%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 35건 대비 39건으로 4건이 증가했습니다. 일일 유입량은 하루 최저 10건(악성 4건)에서 최대 43건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 39건 중 Link-Malware형이 38.5%로 가장 많았고 뒤이어 Attach-Malware형이..

악성코드 분석 리포트 2022. 5. 31. 09:38

Zero-Day ‘Follina’ Bug Lays Older Microsoft Office Versions Open to Attack 공격자가 Microsoft Office에 존재하는 제로데이 취약점을 악용하여 원격 Word 템플릿 기능을 통해 타깃 시스템에서 악성코드를 실행 가능한 것으로 나타났습니다. 이는 지난 주말 일본의 보안업체인 Nao Sec이 트위터에 제로데이에 대한 경고를 발행해 알려졌습니다. 유명 보안 연구원인 Kevin Beaumont는 해당 제로데이의 코드가 이탈리아 기반의 지역 번호인 Follina – 0438을 참조하기 때문에 취약점을 "Follina"라 명명했다고 밝혔습니다. Beaumont는 이 취약점이 Microsoft Word의 원격 템플릿 기능을 악용하고 있으며, Offic..

국내외 보안동향 2022. 5. 31. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 4월의 주요 스미싱 공격은 택배 스미싱 문자로 49.72%를 차지하고 있습니다. 그리고 건강검진 스미싱이 38.46%, 마지막으로 보이스피싱을 유도하는 스미싱 공격이 10.69%를 차지하고 있습니다. 코로나로 인한 거리 두기 등이 완화되며 스미싱도 공격 방법이 변화하고 있습니다. 악성 앱 유포 링크를 제거한 후 통화를 유도하여 악성 앱을 유포하는 보이스피싱 방식의 스미싱 공격이 지속적으로 증가하고 있습니다. 4월의 스미싱 트렌드를 살펴보도록 하겠습니다. 4월 스미싱 트렌드 ESRC에서 수집 한 4월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 4월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SM..

악성코드 분석 리포트 2022. 5. 30. 16:47

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국제 택배사를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 DHL을 위장하고 있습니다. 피싱 메일은 택배발송과 관련된 송장번호, 발송지 등의 내용이 포함시켜 사용자로 하여금 실제 DHL에서 보낸 것처럼 착각하도록 유도합니다. 피싱 메일에는 pdf 파일과 html 파일이 첨부되어 있으며, 이메일 본문에서 첨부되어 있는 파일들을 열어보라며 사용자의 실행을 유도합니다. 만일, 사용자가 html 파일을 실행한다면 실제 DHL 페이지처럼 위장하고 있는 페이지가 나타납니다. 해당 페이지에서는 고객 확인을 이유로 사용자로 하여금 계정정보의 입력을 유도합니다. 만일 사용자가 계정정보를 입력하고 Track..

악성코드 분석 리포트 2022. 5. 30. 15:47