안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다. 압축파일 내에는 exe 파일이 포함되어 있습니다. exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다. 사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다. 최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며..

악성코드 분석 리포트 2022. 1. 27. 10:12

안녕하세요? 이스트시큐리티입니다. 2022년 설 연휴를 맞이하여 시큐리티대응센터(이하 ESRC)에서는 5가지 보안위협 및 그 대응방안에 대해 정리해 보았습니다. 1. 계정 정보를 위협하는 피싱 메일 주의 오미크론의 확산세가 증가하면서 전통시장이 아닌 온라인에서 장을 보는 사람들이 증가하고, 방역 패스 시행에 따라 명절 전 백신 접종을 하려는 사람들 또한 많을 것으로 예상됨에 따라 '백신 예약', '국민 비서', '카카오 결제' 등의 키워드를 이용한 피싱 메일을 통한 계정 정보 유출 시도가 증가할 것으로 예상됩니다. 사용자 여러분들은 이메일 발신자 주소 및 접속 페이지의 url을 확인하는 습관을 길러야 하며, 어느 경우에도 계정 비밀번호를 요구하는 경우는 없다는 점 반드시 기억하고 있어야 하겠습니다. 또한..

전문가 기고 2022. 1. 27. 09:16

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets 지난 화요일 사이버 보안 연구원들이 국가 안보 정책을 감독하는 고위 공무원과 서아시아의 방위 산업 부문의 개인을 노린 다단계 스파잉 캠페인을 발견했습니다. 보안 회사인 Trellix는 이 공격의 특이한 점이 Microsoft OneDrive를 C2 서버로 활용하고 은폐된 상태를 최대한 유지하기 위해 최대 6단계로 나뉜다는 것이라 밝혔습니다. "이러한 통신 유형을 사용할 경우 합법적인 Microsoft 도메인에만 연결하고 의심스러운 네트워크 트래픽을 표시하지 않기 때문에 악성코드가 피해자의 시스템에서 눈에 띄지 않고 이동할 수 있습니다." 이 은밀한 작전은 최소 2021년 6월 1..

국내외 보안동향 2022. 1. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 근로계약서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번 피싱 메일은 '[***] '2022 근로계약서_***' 서류심사 및 준비서류 요청'이라는 제목으로 유포되었습니다. 피싱 메일에는 검토할 문서가 있다는 내용과 함께 [문서 검토]라는 버튼이 있습니다. 만일 사용자가 해당 버튼을 누르면 피싱 페이지로 넘어가게 됩니다. 피싱 페이지는 암호화 된 pdf 파일을 위장하고 있으며, 다운로드 링크를 클릭하면 사용자 이메일의 비밀번호를 입력하라고 유도합니다. 만일 사용자가 password 란에 비밀번호를 입력하면, 로딩 아이콘이 뜨며 마치 오류가 난 것처럼 아무런 반응이 없습니다. 하지만 실제로는 백그라운드에서 사용자가 입..

악성코드 분석 리포트 2022. 1. 26. 17:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 12월은 11월과 마찬가지로 택배 스미싱이 공격을 주도했습니다. 택배를 키워드로 하는 스미싱 공격은 88.19%로 11월 대비 17% 정도 증가하며 여전히 증가세를 이어가고 있습니다. 그리고 금융기관을 사칭하는 스미싱 공격이 9.59%, 수사기관을 사칭하는 스미싱 공격이 1.52%로 증가세를 이어가고 있습니다. 마지막으로 건강검진을 키워드로 하는 스미싱 공격은 0.58%로 11월 대비 22% 정도 감소하며 공격자들이 다시 택배 키워드를 스미싱 공격의 주요 키워드로 사용하고 있음을 알 수 있습니다. 위의 통계를 통해 주요 스미싱 공격 키워드가 건강검진에서 다시 택배로 전환되고 있음을 알 수 있습니다. 12월의 스미싱 트렌드를 살펴보도록 하겠..

악성코드 분석 리포트 2022. 1. 26. 16:27

TrickBot Malware Using New Techniques to Evade Web Injection Attacks 악명 높은 TrickBot의 제작자가 안티바이러스 제품을 우회하기 위해 여러 방어 계층을 추가한 것으로 나타났습니다. IBM Trusteer는 보고서를 통해 아래와 같이 밝혔습니다. "해당 악성코드는 연구원이 접근하지 못하도록 하고 보안 통제를 우회할 수 있도록 악성코드 인젝션에 추가 보호 기능을 장착했습니다." "대부분의 경우 이러한 추가 보호 기능은 Dyre 트로이 목마가 사라진 후 시작된 TrickBot의 주요 활동인 온라인 뱅킹 사기에서 진행되는 주입에 적용되었습니다." 뱅킹 트로이 목마로 시작한 TrickBot은 랜섬웨어와 같은 추가 페이로드를 전달하기 위해 다양한 공격자가..

국내외 보안동향 2022. 1. 26. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 국제 행사 동시 통역사를 겨냥한 해킹 시도가 발견되어 사용자들의 각별한 주의가 필요합니다. ESRC는 최근 북한 연계 해킹 조직의 소행으로 분류된 새로운 사이버 위협 활동을 다수 포착하였습니다. 새로 발견된 공격은 마치 국제 행사의 동시 통역을 의뢰하는 것처럼 조작된 해킹 이메일을 다수의 통역 분야 종사자들에게 전송한 것이 특징입니다. 이처럼 통역사를 집중 겨냥한 표적 공격 사례는 매우 이례적으로 영어, 중국어, 러시아어에 능통한 통역사들이 위협 대상에 대거 포함되었습니다. ESRC는 특정 통역사 대상 공격 의도를 정확히 규명하기 위해 다각적 분석을 면밀히 진행 중이며, 측면 공격루트를 확보하기 위한 다단계 침투 시나리오 등 모든 가능성을 염두에 두고 조사..

악성코드 분석 리포트 2022. 1. 26. 09:43

Linux system service bug gives you root on every major distro 연구원들이 금일 Polkit의 pkexec 컴포넌트에 존재하는 취약점인 CVE-2021-4034가 모든 주요 Linux 배포판의 기본 구성에 존재하며, 시스템에 대한 전체 루트 권한을 얻는데 악용될 수 있다고 경고했습니다. CVE-2021-4034는 PwnKit이라 명명되었으며, 이는 약 12년 전 pkexec의 초기 커밋인 것으로 밝혀져 모든 Polkit 버전이 영향을 받습니다. Pkexec는 권한이 있는 프로세스와 권한이 없는 프로세스 간의 상호 작용을 협상하는 Polkit 오픈 소스 응용 프로그램 프레임워크의 일부로, 이를 사용할 경우 권한이 있는 사용자가 다른 사용자로 명령을 실행할 수 ..

국내외 보안동향 2022. 1. 26. 09:00