안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 발주서 파일로 위장하여 “NAVER WORKS(네이버 웍스)” 계정 탈취를 목적으로 발송되는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “[플***] - (발주서 송부의 건)”라는 제목으로 수신되었으며, 특정 업체명을 도용해 실제 기업에서 발송한 것처럼 위장했습니다. 사용자가 메일에 포함된 첨부파일을 실행하면 사용자 정보를 탈취하는 전형적인 “스피어 피싱” 방식입니다. 사용자가 발주서 내용 확인을 위해 첨부된 파일을 다운로드하여 실행할 경우, 브라우저를 통해 “NAVER WORKS” 계정과 패스워드를 가로채기 위한 피싱 페이지로 연결됩니다. 첨부된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 [플***]..

악성코드 분석 리포트 2021. 3. 11. 17:22

Researchers Unveil New Linux Malware Linked to Chinese Hackers 지난 수요일 사이버 보안 연구원들이 리눅스 엔드포인트 및 서버를 노리는 새로운 정교한 백도어를 발견해 공개했습니다. 이 백도어는 중국 정부의 지원을 받는 공격자의 작업인 것으로 추측됩니다. 해당 악성코드는 “RedXOR”라 명명되었으며 polkit 데몬으로 위장한 이 백도어에서 PWNLNX, ​XOR.DDOS, Groundhog와 같이 Winnti(Axiom)와 관련이 있는 악성코드와 유사한 점이 다수 발견되었습니다. RedXOR이라는 이름은 이 악성코드가 XOR 기반 체계를 이용하여 네트워크 데이터를 암호화하며, Red Hat Enterprise Linux의 구버전에서 공개된 레거시 GCC ..

국내외 보안동향 2021. 3. 11. 14:54

White hat hackers gained access more than 150,000 surveillance cameras 한 미국 해커 그룹이 은행, 감옥, 학교, 병원 및 유명 조직의 보안 카메라 15만 대에 접근이 가능했다고 주장했습니다. 이 뉴스는 Bloomberg에서 처음 보도되었습니다. 해커는 해킹된 보안 카메라 영상에서 캡쳐한 이미지를 #OperationPanopticon 해시태그와 함께 트위터에 게시했습니다. 또한 해커는 해킹의 증거로 일련의 이미지를 공개했으며, 이 중 일부는 Tesla와 Cloudflare에서 사용하는 보안 카메라에 대한 루트 셸 권한을 얻었음을 나타냅니다. 이 해커 그룹의 멤버 중 한명인 Tillie Kottmann은 기업 보안 카메라 운영 회사인 Verkada의 ..

국내외 보안동향 2021. 3. 11. 09:24

z0Miner botnet hunts for unpatched ElasticSearch, Jenkins servers 작년에 발견된 가상 화폐 채굴 봇넷인 z0Miner가 Jenkins 및 ElasticSearch 서버를 노리는 것으로 나타났습니다. 이 봇넷의 목적은 모네로(XMR) 화폐를 채굴하는 것입니다. z0Miner는 크립토마이닝 악성코드 변종으로 지난 11월 텐센트 보안 팀에서 발견했습니다. 당시 이 봇넷은 Weblogic의 보안 취약점을 악용하여 수천 대의 서버를 감염시켰습니다. 공격자들은 ElasticSearch 및 Jenkins 서버에 존재하는 RCE 취약점을 악용하여 새로운 기기를 검색하고 감염을 시도하도록 악성코드를 업그레이드했습니다. 수 년간 패치되지 않은 서버들 노려 Qihoo 36..

국내외 보안동향 2021. 3. 10. 14:20

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 환경 기술 관련 기업 내 사내 계정을 대상으로 Hoax 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 "개인 편지"라는 제목으로 전파되었으며, 제목에서 추측할 수 있듯이 본문 내용은 매우 사적인 내용으로 수신자를 협박하고 있음을 알 수 있습니다. 해당 메일에는 번역기를 돌린듯한 어색한 말투가 사용되었으며, 이를 통해 공격자는 하나의 스크립트를 여러 언어로 번역하여 전 세계 불특정 다수에게 유포한 것으로 추측됩니다. 작성된 내용을 살펴보면, 수신자가 접속했던 성인 사이트에서 악성코드 감염이 발생했고, 이를 통해 사생활이 녹화된 동영상을 획득하였으니 이를 유포하기 전에 금전을 보내라는 식으로 수신자를 협박하고 있습니다. 해..

악성코드 분석 리포트 2021. 3. 10. 10:44

최근 국내 유명 언론사, 민간 정책연구소, 전문 학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전 방위적 해킹 시도가 지속적으로 수행되고 있어 각별한 주의가 필요합니다. 이번 해킹 공격 배후 세력으로는 2021년 상반기 연이어 발생하는 위협 그룹 중 가장 활발한 움직임을 보이고 있는 ‘탈륨(Thallium)’ 조직이 다시 지목되었습니다. 이번 사건에 연루된 ‘탈륨’은 미국 마이크로소프트(MS)로부터 정식 고소를 당해 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 외교·안보·통일·국방 전현직 관계자를 주요 해킹 대상으로 삼아 사이버 첩보전 활동을 활발히 전개하며, 얼마전 통일부를 사칭한 피싱 공격도 이들 소행으로 확인된 바 있습니다. 탈륨 그룹은 주로 국내 외교 안보분야 전문가로 활동..

악성코드 분석 리포트 2021. 3. 10. 09:31

9 Android Apps On Google Play Caught Distributing AlienBot Banker and MRAT Malware 사이버보안 연구원들이 안드로이드 앱 9개에 포함되어 있는 새로운 악성코드 드롭퍼를 발견했습니다. 이 악성 앱은 구글 플레이스토어를 통해 배포되며 피해자의 금융 계정에 침투하고 기기를 완전히 제어할 수 있도록 하는 기능을 포함한 2단계 악성코드를 배포합니다. Check Point 연구원인 Aviran Hazum, Bohdan Melnykov, Israel Wernik는 블로그 포스팅을 통해 아래와 같이 밝혔습니다. “Clast82라 명명된 이 드롭퍼는 구글 플레이 프로텍트 탐지를 피하고, 비 악성 페이로드로부터 드롭된 페이로드를 AlienBot과 MRAT으로 ..

국내외 보안동향 2021. 3. 10. 09:29

New Sarbloh ransomware supports Indian farmers' protest Sarbloh라 알려진 새로운 랜섬웨어가 파일을 암호화하는 동시에 인도 농부의 시위를 지지하는 메시지를 전달하는 것으로 나타났습니다. 지난 해 인도 정부는 ‘farm Bills’로도 알려진 ‘인도 농업 법 2020’이라는 새로운 법안을 통과시켰습니다. 정부는 농산업을 현대화 하기 위해 이 법안이 필요하다고 설명했습니다. 하지만 농부들은 이 법률로 인해 상품을 판매하는 방식 및 가격에 대한 제한이 제거되어 그들의 수익 창출이 더욱 어렵게 될 것이라 주장했습니다. 새로운 랜섬웨어인 Sarbloh, 인도 농부들 지지해 Malwarebytes, Cyble, QuickHeal을 포함한 많은 보안 회사에서 발견한 이..

국내외 보안동향 2021. 3. 9. 14:37