Cytrox’s Predator spyware used zero-day exploits in 3 campaigns 구글의 TAG(Threat Analysis Group) 연구원이 안드로이드의 제로데이 취약점 5개를 통해 2021년 8월에서 10월 사이 안드로이드 사용자를 노린 캠페인 3건을 발견했습니다. 이 공격의 목적은 북마케도니아 회사인 Cytrox에서 개발한 감시 스파이웨어인 Predator를 설치하기 위한 것이었습니다. 공격자가 악용한 제로데이 취약점 5가지는 아래와 같습니다: 크롬 취약점 : CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 안드로이드 취약점 : CVE-2021-1048 아래는 구글 TAG에서 문서화한 캠페인 3건과 ..

국내외 보안동향 2022. 5. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 세무조사 공지를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. '세무조사'는 공격자들이 자주 사용하는 키워드로, ESRC에서도 세무조사를 위장한 피싱 메일에 대해 포스팅을 작성한 적이 있습니다. ▶ 국세청 세무조사통지서를 위장하여 유포중인 Lokibot 주의! 이번에 발견된 피싱 메일은 '5월 세무조사 공지'라는 제목으로 유포되었으며, html 파일이 대용량파일 형태로 파일이 첨부되어 있습니다. 만일 사용자가 해당 메일을 정상 메일로 오인하여 링크를 클릭하면 악성 html 파일이 사용자 PC로 다운로드 됩니다. 사용자가 다운로드 된 html 파일을 실행하면, 실제 다음(Daum) 로그인 페이지와 유사..

악성코드 분석 리포트 2022. 5. 23. 15:29

Cisco Issues Patch for New IOS XR Zero-Day Vulnerability Exploited in the Wild Cisco가 지난 금요일 IOS XR 소프트웨어에 영향을 미치는 심각도 보통인 취약점에 대한 패치를 발표했습니다. 해당 취약점은 실제 공격에서 악용된 것으로 알려졌습니다. CVE-2022-20821(CVSS 점수: 6.5)로 등록된 이 취약점은 인증되지 않은 원격 공격자가 Redis 인스턴스에 연결해 코드를 실행하기 위해 악용할 수 있는 오픈 포트 포트 취약점과 관련이 있습니다. Cisco는 권고를 통해 아래와 같이 밝혔습니다. “공격자가 취약점 악용에 성공할 경우, Redis 인메모리 데이터베이스에 쓰고, 컨테이너 파일 시스템에 임의 파일을 쓰고, Redis 데이..

국내외 보안동향 2022. 5. 23. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구됩니다. 이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌습니다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것입니다. 악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 5월 24일(화) [‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은?]이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있습니다. 공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해,..

악성코드 분석 리포트 2022. 5. 23. 13:51

PDF smuggles Microsoft Word doc to drop Snake Keylogger malware 분석가들이 최근 악성코드 캠페인에서 사용자를 악성코드에 감염시키는 악성 Word 문서가 PDF 첨부 파일을 통해 밀수되는 것을 발견했습니다. 대부분의 악성 이메일은 악성코드 로딩 매크로 코드가 포함된 DOCX 또는 XLS 파일을 첨부하고 있기 때문에, PDF를 사용하는 것은 이례적입니다. 하지만 더 많은 사람들이 악성 Microsoft Office 첨부 파일을 여는 것에 대한 교육을 받게 된 후, 공격자는 탐지를 피해 악성 매크로를 배포하기 위해 다른 방법을 사용하기 시작했습니다. HP Wolf Security의 연구원들은 새로운 보고서를 통해 피해자의 컴퓨터에 인포 스틸러 악성코드를 다운로..

국내외 보안동향 2022. 5. 23. 09:00

[5월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국외발신] OOO님 (주)아마존 코리아 U.S.D 363.03 해외 승인 본인아닐시 한국소비자원:050-xxxx-xxxx 2 대한택.배 고객님 상품 배송 실패 주“”소가 틀리시면 바로 수정해주.세요.[ han[.]gl/xxxxx ][FW] 3 0000배송불가&l도로명불일치&g앱 다운로드 주소지확인 부탁드립니다 hxxps://xxxx.xxxx[.]com 4 [국민건강검진센터]종합건강검진 안내서 발송완료.내용확인[xxxxx.xxxx[.]fit] 5 [Web발신] [국민건..

안전한 PC&모바일 세상/스미싱 알림 2022. 5. 20. 17:06

Google OAuth client library flaw allowed to deploy of malicious payloads 구글은 CVE-2021-22573(CVS 점수 8.7)으로 등록된 Java용 구글 OAuth 클라이언트 라이브러리의 심각도 높은 인증 우회 취약점을 해결했습니다. 이 취약점은 해킹된 토큰을 통해 공격자가 악의적인 페이로드를 배포하도록 허용합니다. Java용 구글 OAuth 클라이언트 라이브러리는 구글 API뿐 아니라 웹의 모든 OAuth 서비스와 작동하도록 설계되었습니다. 라이브러리는 Java용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며, Java 7(및 이상) 표준(SE) 및 엔터프라이즈(EE), Android 4.0(및 이상), Google App Engine을 ..

국내외 보안동향 2022. 5. 20. 14:00

Microsoft emergency updates fix Windows AD authentication issues Microsoft는 도메인 컨트롤러에 2022년 5월 패치 화요일 공개된 Windows 업데이트를 설치한 후 발생하는 Active Directory(AD) 인증 문제를 해결하기 위해 긴급 OOB(out-of-band) 업데이트를 출시했습니다. MS는 5월 12일부터 일부 Windows 서비스에 대한 인증 실패를 일으키는 문제에 대해 수정작업을 진행중에 있습니다. "도메인 컨트롤러에 2022년 5월 10일 릴리스된 업데이트를 설치한 후, NPS(네트워크 정책 서버), RRAS(라우팅 및 원격 액세스 서비스), Radius, 확장 인증 프로토콜( EAP) 및 PEAP(Protected Exte..

국내외 보안동향 2022. 5. 20. 10:42