Microsoft detects massive surge in Linux XorDDoS malware activity Linux 장치를 해킹하고 DDoS 봇넷을 구축하는 은밀한 모듈식 악성코드가 지난 6개월 동안 활동이 254%나 증가한 것으로 나타났습니다. 최소 2014년 이후로 활동을 시작한 이 악성코드는 명령 및 제어(C2) 서버와의 통신에 XOR 기반 암호화를 사용하고 DDoS 공격에 사용되어 XorDDoS(또는 XOR DDoS)로 알려져 있습니다. 마이크로소프트는 해당 봇넷이 성공한 이유에 대해 은밀하고 제거하기 어려운 상태를 유지하는 다양한 회피 및 지속 전술을 폭넓게 사용하기 때문일 것이라 밝혔습니다. 마이크로소프트의 365 Defender Research Team은 아래와 같이 밝혔습니다...

국내외 보안동향 2022. 5. 20. 09:00

Microsoft warns of attacks targeting MSSQL servers using the tool sqlps 마이크로소프트가 MSSQL 서버를 노린 새로운 해킹 캠페인에 대해 경고했습니다. 공격자들이 적절히 보호되지 않는 인스턴스에 브루트포싱 공격을 시작한 것으로 나타났습니다. 이 공격은 일종의 SQL Server PowerShell 파일이자 합법적인 툴인 sqlps.exe를 자급자족형 바이너리(LOLBin)로 사용합니다. 마이크로소프트는 트위터를 통해 해당 공격에 대해 경고했지만, 공격자를 특정하지는 않았습니다. sqlps.exe 유틸리티는 마이크로소프트에서 SQL 빌드 cmdlet을 실행하기 위한 PowerShell 래퍼라 설명할 수 있습니다. 또한 공격자는 sqlps.exe를 통..

국내외 보안동향 2022. 5. 19. 14:00

안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티가 ICT 중소기업 정보보호 지원사업 공급기업에 선정되었다는 소식을 전해드립니다. ICT 중소기업 정보보호 컨설팅 및 보안솔루션 지원사업이란? 과학기술정보통신부가 주최하고 한국인터넷진흥원이 주관하는 해당 사업은 일정 규모의 ICT 인프라를 보유한 전국 중소기업 600개 사 대상으로 정보보호 컨설팅 기반의 보안솔루션을 제공해, 기업이 자체적으로 정보보호 체계를 구축하고 이를 위한 투자 기반을 마련할 수 있도록 지원하는 것이 목적입니다. 이번 사업에서 이스트시큐리티는 통합 백신 '알약'을 포함해 총 9개의 보안 솔루션을 제공합니다. 이중 대표적인 솔루션 '알약'은 10년 이상 서비스하며 검증된 노하우와 정보보안 최전방에서 활동하는 이스트시큐리티 시큐리티대..

이스트시큐리티 소식 2022. 5. 19. 10:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 다양한 키워드를 활용하여 수행합니다. 그러나 초창기 스미싱 공격부터 현재까지 꾸준하게 공격자들이 선호하는 키워드가 있습니다. “택배” 키워드입니다. 초창기 스미싱 공격의 주요 키워드는 “청첩장”, “돌잔치”, “택배” 등이었습니다. 그러나 “택배” 이외의 키워드들은 시기나 사회의 관심사와 연관된 키워드로 지속적으로 변경이 되었으나 “택배” 키워드만큼은 꾸준하게 활용되고 있습니다. 택배 스미싱은 스미싱 공격의 초기부터 발견되기 시작하여 현재까지 꾸준하게 발견되고 있습니다. 이는 택배 스미싱이 공격자들에게 매우 효과적인 공격 방법이라는 것을 알 수 있습니다. 이렇게 악성 앱이 개인 정보를 탈취하게 되면 탈취한 개인 정보를 활용하..

악성코드 분석 리포트 2022. 5. 19. 09:00

DHS orders federal agencies to patch VMware bugs within 5 days 국토안보부의 사이버 보안 부서가 FCEB(Federal Civilian Executive Branch) 기관에 VMWare 관련 위협이 증가해 월요일까지 네트워크에서 VMware 제품을 업데이트하거나 제거할 것을 명령했습니다. CISA는 지난 수요일 VMware가 여러 제품에 존재하는 새로운 인증 우회 및 로컬 권한 상승 취약점(CVE-2022-22972, CVE-2022-22973)을 패치한 후 긴급 지침 22-03을 발표했습니다. 지난 4월에 VMware는 VMware Workspace ONE Access 및 VMware Identity Manager의 원격 코드 실행 취약점(CVE-202..

국내외 보안동향 2022. 5. 19. 09:00

Over 200 Apps on Play Store were distributing Facestealer info-stealer Trend Micro의 연구원들이 플레이 스토어에서 안드로이드 앱 200개 이상을 통해 감염된 안드로이드 기기에서 민감 데이터를 훔치는 스파이웨어인 Facestealer가 배포되는 것을 발견했습니다. 해당 악성 앱은 크리덴셜, 페이스북 쿠키, 기타 개인 식별 정보 등을 탈취합니다. 전문가들이 발견한 악성 앱 중 일부는 수십만 회 이상 설치되었습니다. Facestealer 스파이웨어는 2021년 7월 Dr. Web 연구원에 의해 처음으로 발견되었으며 해당 악성코드의 개발 팀은 코드를 빈번히 업데이트했습니다. 악성 앱의 대부분은 VPN 소프트웨어(42개), 카메라(20개), 사진 편..

국내외 보안동향 2022. 5. 18. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 주 대한민국 호주 공사 및 공관차석 알렉산드라 씨들의 이력이 적힌 악성 워드파일이 유포되어 사용자들의 주의가 필요합니다. 피싱 메일 내 첨부파일을 통해 악성 매크로가 포함된 워드파일 형태로 유포된 것으로 보이며, 공격 목표는 특정인 혹은 특정 집단일 것으로 추정됩니다. 워드파일을 실행하면 워드파일을 업데이트 하라는 문구가 뜨며, [콘텐츠 사용] 버튼을 활성화 하도록 유도합니다. [콘텐츠 사용] 버튼이 기본적으로 비활성화 되어있는 것은 내부에 매크로 코드가 포함되어 있는 경우 자동으로 실행되는 것을 방지하기 위한 보호조치 입니다. 이 때문에 공격자들은 사용자로 하여금 [콘텐츠 사용] 버튼을 누르도록 유도하여 공격자가 내부에 심어놓은 매크로 ..

악성코드 분석 리포트 2022. 5. 18. 13:19

최근 OpenSSL은 여러개의 보안 취약점을 패치하였습니다. OpenSSL 서비스 거부 취약점(CVE-2022-1473) 해시테이블을 비우는 OPENSSL_LH_flush() 함수에는 제거된 해시 테이블이 차지하는 메모리 재사용을 중단하는 버그가 포함되어 있습니다. 이 기능은 인증서 또는 키를 디코딩할때 사용되며, 수명이 긴 프로세스가 인증서 또는 키를 주기적으로 디코딩 하는 경우, 메모리 사용량이 제한 없이 확장되며 프로세스가 운영체제에 의해 종료되어 서비스 거부가 발생할 수 있습니다. OpenSSL 비밀번호 오류 취약점(CVE-2022-1434) RC4-MD5 ciphersuite의 OpenSSL 3.0 구현은 AAD 데이터를 MAC키로 잘못 사용하여 MAC키를 쉽게 예측할 수 있게 됩니다. 해당 취..

국내외 보안동향 2022. 5. 18. 10:44