Agent Tesla Malware Spotted Using New Delivery & Evasion Techniques 지난 화요일 보안 전문가들이 Agent Tesla 원격 액세스 트로이목마(RAT)가 방어 장치를 우회하고 피해자를 모니터링 하기 위해 추가한 새로운 배포 및 회피 기술을 발견했습니다. 이 윈도우용 스파이웨어는 주로 소셜 엔지니어링 관련 미끼를 사용하며, 엔드포인트 보안 소프트웨어를 우회하기 위해 마이크로소프트의 AMSI(Antimalware Scan Interface)를 노릴 뿐 아니라 다단계 설치 프로세스를 사용하고 Tor 및 텔레그램 메시징 API를 사용하여 C2 서버와 통신합니다. 사이버 보안 회사인 Sophos는 현재 진행 중인 공격에 사용되고 있는 Agent Tesla의 버전..

국내외 보안동향 2021. 2. 3. 14:07

Ransomware operators exploit VMWare ESXi flaws to encrypt disks of VMs 보안 연구원들이 가상 하드 디스크를 암호화하기 위해 VMWare ESXi 취약점인 CVE-2019-5544, CVE-2020-3992를 악용하는 랜섬웨어 공격에 대해 경고했습니다. 공격자들은 기업 환경에서 사용하는 가상 머신의 디스크를 암호화하기 위해 VMWare ESXi 익스플로잇을 악용하고 있는 것으로 나타났습니다. 지난 10월, RansomExx 랜섬웨어 그룹(Defray777로도 알려짐)은 그들의 공격을 확장시켜 VMWare 가상 머신을 노리기 시작했습니다. 피해자들은 그들의 가상 머신이 갑자기 종료된 후 데이터 저장소의 모든 파일(vmdk, vmx, 로그)이 암호화되어 ..

국내외 보안동향 2021. 2. 3. 09:00

Google discloses a severe flaw in widely used Libgcrypt encryption library 구글 프로젝트 제로 팀의 유명한 화이트햇 해커인 Tavis Ormandy가 GNU Privacy Guard (GnuPG)의 Libgcrypt 암호화 소프트웨어에서 심각한 힙 버퍼 오버플로우 취약점을 발견했습니다. 이 취약점이 악용될 경우 원격 공격자가 타깃 머신에 임의 데이터를 쓸 수 있도록 허용해 코드 실행으로 이어질 수 있습니다. Ormandy는 보안 권고를 발행하여 아래와 같이 밝혔습니다. “블록 버퍼 관리 코드 내 잘못된 가정으로 인해 libgcrypt에 힙 버퍼 오버플로우 취약점이 존재합니다. 데이터를 단순히 복호화하는 것 만으로도 공격자가 제어하는 데이터로 힙 ..

국내외 보안동향 2021. 2. 2. 14:17

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 01월 24일~01월 30일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 116건이고 그중 악성은 47건으로 40.52%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 52건 대비 47건으로 5건이 감소했습니다. ] 일일 유입량은 하루 최저 4건(악성 1건)에서 최대 24건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 47건 중 Attach-Malware형이 46.8%로 가장 많았고 뒤이어 Link-Malware형..

악성코드 분석 리포트 2021. 2. 2. 09:30

Hacker group inserted malware in NoxPlayer Android emulator 알려지지 않은 해킹 그룹이 인기있는 안드로이드 에뮬레이터의 서버 인프라를 해킹해 고도의 타깃형 공급망 공격을 통해 소수의 아시아 사용자에게 악성코드를 배포한 것으로 나타났습니다. 이 공격은 보안 회사인 ESET에서 지난 1월 25일 발견했으며, 안드로이드 앱을 윈도우나 맥OS에서 에뮬레이팅하는 소프트웨어 클라이언트인 녹스플레이어(NoxPlayer)를 개발하는 회사인 BigNox를 노린 것으로 나타났습니다. ESET은 연구원들이 수집한 증거에 따르면, 공격자는 회사의 공식 API 중 하나 (api.bignox.com)와 파일 호스팅 서버 (res06.bignox.com)를 해킹한 것으로 드러났습니다...

국내외 보안동향 2021. 2. 2. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. ESRC는 북한 당국과 연계된 것으로 알려진 탈륨(Thallium) 조직의 위협활동을 모니터링하는 과정 중, 모스크바에 있는 러시아 과학원 극동 연구소의 한국학 센터 선임 연구원을 상대로 이메일 해킹 공격 시도 정황을 포착했습니다. 위협 행위자는 'Short URL generator' 서비스를 이용해 특정 단축 URL 주소를 생성했고, 실제 아래와 같은 주소가 공격에 사용된 것으로 파악됐습니다. ● dnsservice.esy[.]es/session-error-active/rambler.ru/config/?id=ludmila_hph&ath=kpp.pdf (93.188.160.77) 단축 URL "surl[.]me/zsu7" 주소가 이메일 링크로..

악성코드 분석 리포트 2021. 2. 1. 19:26

New Pro-Ocean malware worms through Apache, Oracle, Redis servers 금전적 이득을 목적으로 하는 Rocke 해커들이 새로운 크립토재킹 악성코드를 사용하고 있는 것으로 나타났습니다. 이들은 새로운 악성코드인 ‘Pro-Ocean’을 이용하여 취약한 Apache ActiveMQ, Oracle WebLogic, Redis 인스턴스를 노립니다. 이 새로운 악성코드는 자체 확산 기능이 포함되어 있어, 기기를 발견하면 바로 감염을 시도한다는 점에서 해당 그룹의 이전 공격 보다는 한 단계 진화했다고 볼 수 있습니다. 악성 행동 숨겨 Rocke 크립토재킹 해커는 그들의 공격 습관을 바꾸지 않았습니다. 이들은 여전히 클라우드 애플리케이션을 공격하고, 패치되지 않은 Orac..

국내외 보안동향 2021. 2. 1. 14:13

Fonix ransomware shuts down and releases master decryption key Fonix 랜섬웨어 운영자가 활동을 중단하고 피해자가 무료로 파일을 복호화할 수 있는 마스터 복호화 키를 공개했습니다. Xinof와 FoxCrypter로도 알려진 Fonix 랜섬웨어는 2020년 6월부터 활동을 시작했으며, 이후 꾸준히 피해자의 시스템을 암호화했습니다. 이 랜섬웨어는 Sodinokibi, Netwalker, STOP만큼 활동적이지는 않았지만, 아래 ID Ransomware에서 확인할 수 있듯 2020년 11월부터 활동이 약간 증가했습니다. 1월 29일 오후, 자신이 Fonix 랜섬웨어의 관리자라고 주장하는 한 트위터 사용자가 랜섬웨어의 활동이 종료되었다고 발표했습니다. 관리자의..

국내외 보안동향 2021. 2. 1. 09:00