안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다. 해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다. · 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp · 크기 : 91,648 바이트 · 작성자 : MSS · 마지막 수정자 : DefaultAccounts · 마지막 수정날짜 : 2020-11-25 02:20:12 (UTC) 먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재..

악성코드 분석 리포트 2021. 2. 17. 00:40

VMware fixes command injection issue in vSphere Replication VMware가 최근 vSphere Replication 제품에 영향을 미치는 심각한 명령 인젝션 취약점인 CVE-2021-21976을 수정하기 위한 보안 패치를 출시했습니다. VMware vSphere Replication은 파이퍼바이저 기반 가상 머신 복제 및 복구를 제공하는 VMware vCenter Server의 확장 프로그램입니다. vSphere Replication은 스토리지 기반 복제의 대안으로 사용됩니다. 관리자 권한을 가진 공격자가 이 취약점을 악용할 경우 기본 시스템에서 셸 명령을 실행할 수 있게 됩니다. VMware는 보안 권고를 발행해 아래와 같이 밝혔습니다. “vSphere R..

국내외 보안동향 2021. 2. 16. 14:04

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 02월 07일~02월 13일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 103건이고 그중 악성은 33건으로 32.04%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 38건 대비 33건으로 5건이 감소했습니다. 일일 유입량은 하루 최저 7건(악성 3건)에서 최대 49건(악성 13건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 33건 중 Attach-Malware형이 45.5%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2021. 2. 16. 09:30

The malicious code in SolarWinds attack was the work of 1,000+ developers 마이크로소프트가 SolarWinds의 공급망 공격을 분석한 결과 해당 코드가 약 천 명의 개발자의 작업인 것으로 나타났다고 밝혔습니다. 마이크로소프트 회장인 Brad Smith는 Solarwinds 공급망 공격을 조사한 자세한 내용을 공개했으며, 조사 결과에 따르면 이 해킹 사건은 개발자 천 명이 참여한 작업으로 추측된다고 밝혔습니다. Smith는 마이크로소프트가 발견한 내용을 미국 TV 프로그램인 ’60 Minutes’에 공유하고, 이를 “세계에서 가장 규모가 크고 정교한 공격”이라 정의했습니다. “마이크로소프트에서 목격한 모든 것을 분석하던 중, 우리는 이 한 공격 작업..

국내외 보안동향 2021. 2. 16. 09:00

PayPal addresses reflected XSS bug in user wallet currency converter 페이팔이 약 1년 전인 2020년 2월 19일 사용자 지갑의 환율 계산기 기능에서 발견된 교차 사이트 스크립팅(XSS) 취약점을 수정했습니다. 이 ‘반사(reflected) XSS와 CPS 우회’ 취약점은 버그 바운티 사냥꾼인 “Cr33pb0y”가 발견해 HackerOne 플랫폼을 통해 신고했습니다. PayPal은 이에 대해 아래와 같이 밝혔습니다. “통화 변환을 위해 사용된 한 엔드포인트에서 반사(reflected) XSS 취약점이 발견되었습니다. 이 취약점은 사용자 입력이 파라미터에서 적절히 삭제되지 않아 발생합니다. 이로써 악성 사용자가 악성 JavaScript, HTML 및 ..

국내외 보안동향 2021. 2. 15. 14:00

Yandex Employee Caught Selling Access to Users' Email Inboxes 러시아와 네덜란드의 검색 엔진, 차량 호출, 이메일 서비스 제공 업체인 Yandex가 지난 금요일 사용자의 이메일 계정 4,887개에 영향을 미친 데이터 유출 사고를 공개했습니다. 회사는 해당 사고가 발생한 이유로 한 직원이 개인의 이득을 위해 사용자의 메일함에 대한 접근 권한을 타인에게 제공하고 있었기 때문이라 밝혔습니다. Yandex는 이에 대해 아래와 같이 밝혔습니다. “해당 직원은 서비스 내 기술 지원을 제공하기 위해 필요한 권한에 접근이 가능한 시스템 관리자 3명 중 한 명이었습니다.” 회사는 보안 팀이 정기적으로 시스템을 감사하던 중 이 보안 사고를 발견했다고 밝혔습니다. 또한 사고로..

국내외 보안동향 2021. 2. 15. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년에 이어 올해도 코로나19가 여전한 채로 1월을 맞이했습니다. 코로나의 영향으로 1월도 폭발적인 택배 수요로 스미싱 공격 또한 택배 관련 스미싱이 대다수였습니다. 1월 스미싱 트렌드 ESRC에서 수집 한 1월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 1월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 수사기관 수사 기관을 사칭 청첩장 결혼 초대장 형식으로 구성 [표 1] 수집 스미싱 문자들의 키워드 기반 분류 다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다. ..

악성코드 분석 리포트 2021. 2. 10. 16:27

HelloKitty ransomware behind CD Projekt Red cyberattack, data theft CD Projekt Red에 실행된 랜섬웨어 공격이 ‘HelloKitty’ 랜섬웨어의 소행인 것으로 밝혀졌습니다. 금일 CD Projekt는 네트워크를 암호화하고, 암호화되지 않은 파일을 도용하는 랜섬웨어 공격의 피해자가 되었다고 밝혔습니다. CD Projekt는 아래와 같이 밝혔습니다. “어제 내부 시스템 중 일부가 해킹당해 타깃형 사이버 공격의 피해자가 되었다는 사실을 발견했습니다.” “신원이 확인 되지 않은 공격자가 내부 네트워크에 무단으로 접근해 CD Projekt 그룹의 데이터 중 특정 부분을 수집했으며 랜섬노트를 남겼습니다. 네트워크 내 일부 기기는 암호화되었지만, 백업 파..

국내외 보안동향 2021. 2. 10. 14:38