안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구됩니다. 이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌습니다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것입니다. 악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 5월 24일(화) [‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은?]이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있습니다. 공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해,..

악성코드 분석 리포트 2022. 5. 23. 13:51

PDF smuggles Microsoft Word doc to drop Snake Keylogger malware 분석가들이 최근 악성코드 캠페인에서 사용자를 악성코드에 감염시키는 악성 Word 문서가 PDF 첨부 파일을 통해 밀수되는 것을 발견했습니다. 대부분의 악성 이메일은 악성코드 로딩 매크로 코드가 포함된 DOCX 또는 XLS 파일을 첨부하고 있기 때문에, PDF를 사용하는 것은 이례적입니다. 하지만 더 많은 사람들이 악성 Microsoft Office 첨부 파일을 여는 것에 대한 교육을 받게 된 후, 공격자는 탐지를 피해 악성 매크로를 배포하기 위해 다른 방법을 사용하기 시작했습니다. HP Wolf Security의 연구원들은 새로운 보고서를 통해 피해자의 컴퓨터에 인포 스틸러 악성코드를 다운로..

국내외 보안동향 2022. 5. 23. 09:00

[5월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [국외발신] OOO님 (주)아마존 코리아 U.S.D 363.03 해외 승인 본인아닐시 한국소비자원:050-xxxx-xxxx 2 대한택.배 고객님 상품 배송 실패 주“”소가 틀리시면 바로 수정해주.세요.[ han[.]gl/xxxxx ][FW] 3 0000배송불가&l도로명불일치&g앱 다운로드 주소지확인 부탁드립니다 hxxps://xxxx.xxxx[.]com 4 [국민건강검진센터]종합건강검진 안내서 발송완료.내용확인[xxxxx.xxxx[.]fit] 5 [Web발신] [국민건..

안전한 PC&모바일 세상/스미싱 알림 2022. 5. 20. 17:06

Google OAuth client library flaw allowed to deploy of malicious payloads 구글은 CVE-2021-22573(CVS 점수 8.7)으로 등록된 Java용 구글 OAuth 클라이언트 라이브러리의 심각도 높은 인증 우회 취약점을 해결했습니다. 이 취약점은 해킹된 토큰을 통해 공격자가 악의적인 페이로드를 배포하도록 허용합니다. Java용 구글 OAuth 클라이언트 라이브러리는 구글 API뿐 아니라 웹의 모든 OAuth 서비스와 작동하도록 설계되었습니다. 라이브러리는 Java용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며, Java 7(및 이상) 표준(SE) 및 엔터프라이즈(EE), Android 4.0(및 이상), Google App Engine을 ..

국내외 보안동향 2022. 5. 20. 14:00

Microsoft emergency updates fix Windows AD authentication issues Microsoft는 도메인 컨트롤러에 2022년 5월 패치 화요일 공개된 Windows 업데이트를 설치한 후 발생하는 Active Directory(AD) 인증 문제를 해결하기 위해 긴급 OOB(out-of-band) 업데이트를 출시했습니다. MS는 5월 12일부터 일부 Windows 서비스에 대한 인증 실패를 일으키는 문제에 대해 수정작업을 진행중에 있습니다. "도메인 컨트롤러에 2022년 5월 10일 릴리스된 업데이트를 설치한 후, NPS(네트워크 정책 서버), RRAS(라우팅 및 원격 액세스 서비스), Radius, 확장 인증 프로토콜( EAP) 및 PEAP(Protected Exte..

국내외 보안동향 2022. 5. 20. 10:42

Microsoft detects massive surge in Linux XorDDoS malware activity Linux 장치를 해킹하고 DDoS 봇넷을 구축하는 은밀한 모듈식 악성코드가 지난 6개월 동안 활동이 254%나 증가한 것으로 나타났습니다. 최소 2014년 이후로 활동을 시작한 이 악성코드는 명령 및 제어(C2) 서버와의 통신에 XOR 기반 암호화를 사용하고 DDoS 공격에 사용되어 XorDDoS(또는 XOR DDoS)로 알려져 있습니다. 마이크로소프트는 해당 봇넷이 성공한 이유에 대해 은밀하고 제거하기 어려운 상태를 유지하는 다양한 회피 및 지속 전술을 폭넓게 사용하기 때문일 것이라 밝혔습니다. 마이크로소프트의 365 Defender Research Team은 아래와 같이 밝혔습니다...

국내외 보안동향 2022. 5. 20. 09:00

Microsoft warns of attacks targeting MSSQL servers using the tool sqlps 마이크로소프트가 MSSQL 서버를 노린 새로운 해킹 캠페인에 대해 경고했습니다. 공격자들이 적절히 보호되지 않는 인스턴스에 브루트포싱 공격을 시작한 것으로 나타났습니다. 이 공격은 일종의 SQL Server PowerShell 파일이자 합법적인 툴인 sqlps.exe를 자급자족형 바이너리(LOLBin)로 사용합니다. 마이크로소프트는 트위터를 통해 해당 공격에 대해 경고했지만, 공격자를 특정하지는 않았습니다. sqlps.exe 유틸리티는 마이크로소프트에서 SQL 빌드 cmdlet을 실행하기 위한 PowerShell 래퍼라 설명할 수 있습니다. 또한 공격자는 sqlps.exe를 통..

국내외 보안동향 2022. 5. 19. 14:00

안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티가 ICT 중소기업 정보보호 지원사업 공급기업에 선정되었다는 소식을 전해드립니다. ICT 중소기업 정보보호 컨설팅 및 보안솔루션 지원사업이란? 과학기술정보통신부가 주최하고 한국인터넷진흥원이 주관하는 해당 사업은 일정 규모의 ICT 인프라를 보유한 전국 중소기업 600개 사 대상으로 정보보호 컨설팅 기반의 보안솔루션을 제공해, 기업이 자체적으로 정보보호 체계를 구축하고 이를 위한 투자 기반을 마련할 수 있도록 지원하는 것이 목적입니다. 이번 사업에서 이스트시큐리티는 통합 백신 '알약'을 포함해 총 9개의 보안 솔루션을 제공합니다. 이중 대표적인 솔루션 '알약'은 10년 이상 서비스하며 검증된 노하우와 정보보안 최전방에서 활동하는 이스트시큐리티 시큐리티대..

이스트시큐리티 소식 2022. 5. 19. 10:02