안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 다양한 키워드를 활용하여 수행합니다. 그러나 초창기 스미싱 공격부터 현재까지 꾸준하게 공격자들이 선호하는 키워드가 있습니다. “택배” 키워드입니다. 초창기 스미싱 공격의 주요 키워드는 “청첩장”, “돌잔치”, “택배” 등이었습니다. 그러나 “택배” 이외의 키워드들은 시기나 사회의 관심사와 연관된 키워드로 지속적으로 변경이 되었으나 “택배” 키워드만큼은 꾸준하게 활용되고 있습니다. 택배 스미싱은 스미싱 공격의 초기부터 발견되기 시작하여 현재까지 꾸준하게 발견되고 있습니다. 이는 택배 스미싱이 공격자들에게 매우 효과적인 공격 방법이라는 것을 알 수 있습니다. 이렇게 악성 앱이 개인 정보를 탈취하게 되면 탈취한 개인 정보를 활용하..

악성코드 분석 리포트 2022. 5. 19. 09:00

DHS orders federal agencies to patch VMware bugs within 5 days 국토안보부의 사이버 보안 부서가 FCEB(Federal Civilian Executive Branch) 기관에 VMWare 관련 위협이 증가해 월요일까지 네트워크에서 VMware 제품을 업데이트하거나 제거할 것을 명령했습니다. CISA는 지난 수요일 VMware가 여러 제품에 존재하는 새로운 인증 우회 및 로컬 권한 상승 취약점(CVE-2022-22972, CVE-2022-22973)을 패치한 후 긴급 지침 22-03을 발표했습니다. 지난 4월에 VMware는 VMware Workspace ONE Access 및 VMware Identity Manager의 원격 코드 실행 취약점(CVE-202..

국내외 보안동향 2022. 5. 19. 09:00

Over 200 Apps on Play Store were distributing Facestealer info-stealer Trend Micro의 연구원들이 플레이 스토어에서 안드로이드 앱 200개 이상을 통해 감염된 안드로이드 기기에서 민감 데이터를 훔치는 스파이웨어인 Facestealer가 배포되는 것을 발견했습니다. 해당 악성 앱은 크리덴셜, 페이스북 쿠키, 기타 개인 식별 정보 등을 탈취합니다. 전문가들이 발견한 악성 앱 중 일부는 수십만 회 이상 설치되었습니다. Facestealer 스파이웨어는 2021년 7월 Dr. Web 연구원에 의해 처음으로 발견되었으며 해당 악성코드의 개발 팀은 코드를 빈번히 업데이트했습니다. 악성 앱의 대부분은 VPN 소프트웨어(42개), 카메라(20개), 사진 편..

국내외 보안동향 2022. 5. 18. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 주 대한민국 호주 공사 및 공관차석 알렉산드라 씨들의 이력이 적힌 악성 워드파일이 유포되어 사용자들의 주의가 필요합니다. 피싱 메일 내 첨부파일을 통해 악성 매크로가 포함된 워드파일 형태로 유포된 것으로 보이며, 공격 목표는 특정인 혹은 특정 집단일 것으로 추정됩니다. 워드파일을 실행하면 워드파일을 업데이트 하라는 문구가 뜨며, [콘텐츠 사용] 버튼을 활성화 하도록 유도합니다. [콘텐츠 사용] 버튼이 기본적으로 비활성화 되어있는 것은 내부에 매크로 코드가 포함되어 있는 경우 자동으로 실행되는 것을 방지하기 위한 보호조치 입니다. 이 때문에 공격자들은 사용자로 하여금 [콘텐츠 사용] 버튼을 누르도록 유도하여 공격자가 내부에 심어놓은 매크로 ..

악성코드 분석 리포트 2022. 5. 18. 13:19

최근 OpenSSL은 여러개의 보안 취약점을 패치하였습니다. OpenSSL 서비스 거부 취약점(CVE-2022-1473) 해시테이블을 비우는 OPENSSL_LH_flush() 함수에는 제거된 해시 테이블이 차지하는 메모리 재사용을 중단하는 버그가 포함되어 있습니다. 이 기능은 인증서 또는 키를 디코딩할때 사용되며, 수명이 긴 프로세스가 인증서 또는 키를 주기적으로 디코딩 하는 경우, 메모리 사용량이 제한 없이 확장되며 프로세스가 운영체제에 의해 종료되어 서비스 거부가 발생할 수 있습니다. OpenSSL 비밀번호 오류 취약점(CVE-2022-1434) RC4-MD5 ciphersuite의 OpenSSL 3.0 구현은 AAD 데이터를 MAC키로 잘못 사용하여 MAC키를 쉽게 예측할 수 있게 됩니다. 해당 취..

국내외 보안동향 2022. 5. 18. 10:44

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

New Sysrv Botnet Variant Hijacking Windows and Linux with Crypto Miners 마이크로소프트가 윈도우 및 리눅스 시스템에 코인 마이너를 설치하기 위해 웹 애플리케이션 및 데이터베이스의 보안 취약점 다수를 악용하는 새로운 srv 봇넷 변종에 대해 경고했습니다. 새 버전은 Sysrv-K라 명명되었으며, 이는 웹 서버를 제어하기 위해 일련의 익스플로잇을 무기화합니다. 이 크립토재킹 봇넷은 2020년 12월 처음으로 등장했습니다. 마이크로소프트는 트위터를 통해 아래와 같이 밝혔습니다. "Sysrv-K는 인터넷을 스캔해 다양한 취약점이 존재하는 웹 서버를 찾아 자기 자신을 스스로 설치합니다.” "취약점은 경로 탐색, 원격 파일 유출, 임의 파일 다운로드, 원격 코..

국내외 보안동향 2022. 5. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 어제(16일)부터 현재까지 이력서, 저작권 침해를 위장한 피싱 메일을 통하여 LockBit 랜섬웨어가 다수 유포되고 있어 사용자들의 주의가 필요합니다. 이력서와 저작권 관련 피싱 메일을 통하여 랜섬웨어를 유포하는 방식은 비너스락커 조직이 오래전부터 사용하던 공격수법입니다. 피싱 메일에는 수신자가 사진의 저작권을 위반하였다는 내용과 함께 랜섬웨어가 포함된 압축파일이 포함되어 있습니다. 첨부되어 있는 압축파일은 비밀번호가 설정되어 있으며, 비밀번호는 압축파일명에 적혀 있어 사용자가 쉽게 알 수 있습니다. .zip으로 압축되어 있는 압축파일 내에는 또 하나의 .alz 압축파일이 있으며, 해당 압축파일 내에 한글 파일 아이콘을 위장한 실행파일과 ..

악성코드 분석 리포트 2022. 5. 17. 16:09