[11월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [c j대한통운] 고 객 에.게 연 락 할"수"없.으 니 배.송/정보.확인해"주"세요:[ bit[.]ly/xxxxxxxx ] 2 고객님 상점에 결제하신물품 배송햇습니다 확인부탁합니다 hxxp://hxxp://xxxxx.zaqre[.]com 3 [C J대한통운] 고 객에게:연락할"수"없으니배>송정:보:확인해/주세요:[ bit[.]ly/xxxxxxxx ] 4 [[질병관리청]검진보고서 발송완료.내용확인:xx.xxxx[.]Live 5 [국가보험공단]통지서 발송완료.조회하기:..

안전한 PC&모바일 세상/스미싱 알림 2021. 11. 19. 15:38

Hackers deploy Linux malware, web skimmer on e-commerce servers 보안 연구원들이 공격자가 온라인 상점 웹사이트에 신용 카드 스키머를 삽입 후 해킹된 온라인 상점의 서버에 리눅스 백도어를 배포하는 것을 발견했습니다. 이 PHP로 코딩된 웹 스키머(고객의 결제 및 개인 정보를 도용 및 유출하도록 설계된 스크립트)는 추가된 후/app/design/frontend/ 폴더에 .JPG 이미지 파일로 위장합니다. 공격자는 이 스크립트를 통해 해킹된 온라인 상점에서 고객에게 표시되는 결제 페이지에 가짜 결제 양식을 다운로드해 삽입합니다. Sansec의 위협 연구 팀은 아래와 같이 밝혔습니다. "공격자가 온라인 상점 공격을 자동화하여 널리 사용되는 온라인 상점 플랫폼의 ..

국내외 보안동향 2021. 11. 19. 14:00

New Memento ransomware switches to WinRar after failing at encryption 새로운 랜섬웨어 그룹인 Memento가 그들의 암호화 방법이 계속해서 보안 소프트웨어에 탐지된 후 파일을 암호로 보호된 압축파일 내에 잠그는 특이한 방법을 사용하기 시작한 것으로 나타났습니다. 이 그룹은 지난 달 활동을 시작해 피해자의 네트워크 접근하는데 VMware vCenter Server 웹 클라이언트의 취약점을 악용했습니다. vCenter 취약점은 'CVE-2021-21971'로 등록되었으며 심각도 점수 9.8(치명적)을 받은 인증되지 않은 원격 코드 실행 이슈입니다. 이 취약점으로 노출된 vCenter 서버의 TCP/IP port 443에 원격으로 접근 가능한 사람은 누구..

국내외 보안동향 2021. 11. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 한국의 콘텐츠인 ‘오징어게임’이 전 세계적인 흥행에 성공하고 있습니다. 그리고 이런 기회를 적극적으로 이용하려는 공격자들은 ‘오징어게임’과 연관되어 있는 듯한 악성 앱들을 발빠르게 제작하여 유포하고 있습니다. 지난 10월 발견된 이 악성 앱은 ‘오징어게임’ 월 페이퍼 앱으로 위장하여 유포되었습니다. 이 악성 앱을 설치하면 추가적인 라이브러리와 플러그인 패키지를 다운받아 피해자가 원하지 않는 광고를 구독하게 됩니다. 물론 피해자는 광고 관련 페이지를 볼 수 없도록 제작되었기에 실제 피해를 체감하지는 못합니다. 이런 악성 앱들은 피해자들의 데이터와 스마트폰 자원을 활용하여 수익 실현을 하지만 피해자들은 구체적인 피해 상황이 드러나지 않기..

악성코드 분석 리포트 2021. 11. 19. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 곧 다가오는 블랙프라이데이를 맞이하여 해외 직구족들을 노리는 피싱메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 DHL을 위장하고 있습니다. 피싱 메일은 전자운송장을 작성하라는 내용과 함께 수신자 이메일 계정 ID_Shipping Doc 이름의 html 파일이 첨부되어 있습니다. 사용자가 만일 첨부되어 있는 html 파일을 실행하면, 다음과 같이 이메일 계정 비밀번호 입력을 요구하는 페이지가 뜹니다. 사용자가 비밀번호를 입력하면 입력한 계정정보는 공격자의 서버로 전송되며, 특정 페이지로 리디렉션 됩니다. C&C 정보 hxxps://submit-form.com/J40spmPR 블랙프라이데이를 맞이하여 해외 구매를 하는 사용자들이 증가..

악성코드 분석 리포트 2021. 11. 18. 15:39

Netgear fixes code execution flaw in many SOHO devices Netgear가 공격자가 LAN(Local Area Network)에서 원격으로 루트 권한으로 실행 시 악용 가능한 소규모 사무실/홈 오피스(SOHO) 장비의 사전 인증 버퍼 오버플로우 문제를 수정했습니다. CVE-2021-34991(CVSS 점수 8.8)로 등록된 이 취약점은 "네트워크의 UPnP 구성이 변경될 때마다 업데이트를 수신하려는 클라이언트의 인증되지 않은 HTTP SUBSCRIBE 및 UNSUBSCRIBE 요청" 처리와 관련된 기기 내 UPnP(Universal Plug-and-Play) upnpd 데몬 기능에 존재합니다. 이 취약점은 기본 구성에서 완전히 패치된 Netgear 기기를 해킹 가능..

국내외 보안동향 2021. 11. 18. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.CryptBot’(이하 ‘CryptBot’) 정보 탈취 악성코드가 가짜 소프트웨어 사이트 등을 통해 유포되고 있는 것으로 알려져 있습니다. 이 악성코드에 감염이 되는 경우, 정보 탈취 및 클립보드를 공격자 지갑 주소로 변경하는 추가 페이로드 다운로드 기능을 수행하게 되어 금전적으로 상당한 피해가 발생할 수 있습니다. ‘CryptBot’는 감염PC 정보, 웹 브라우저 크리덴셜, 암호화폐 애플리케이션 정보를 탈취하여 C&C 전송, 추가 페이로드 다운로드 기능을 수행합니다. 그리고 다운로드되어 실행되는 ‘ClipBanker’는 사용자의 클립보드에 암호화폐 지갑 문자열이 존재하는 경우, 이를 공격자 지갑으로 변조하는 기능을 ..

악성코드 분석 리포트 2021. 11. 18. 09:00

Hackers Targeting Myanmar Use Domain Fronting to Hide Malicious Activities ‘도메인 프론팅’이라는 기술을 활용하여 탐지를 회피하기 위해 공격자가 제어하는 ​​서버로 통신을 라우팅하기 위해 미얀마 정부가 소유한 합법적인 도메인을 활용해 명령 및 제어 트래픽을 숨기기는 악성 캠페인이 발견되었습니다. 2021년 9월 발견된 이 공격은 추가 공격을 시작하기 위한 디딤돌로 Cobalt Strike 페이로드를 배포했으며, 국영 디지털 신문인 Myanmar Digital News 네트워크와 연결된 도메인을 그들 비콘의 전선으로 사용했습니다. Cisco Talos의 연구원인 Chetan Raghuprasad, Vanja Svajcer, Asheer Malhot..

국내외 보안동향 2021. 11. 18. 09:00