안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 ‘탈륨’과 ‘금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있어 주의가 필요합니다. 이번에 새롭게 발견된 APT 공격은 통일부 사칭 악성 이메일 공격과 평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격입니다. [그림] 통일부 자료 사칭 이메일과 통일 관련 공모전 신청서 사칭 HWP 파일 먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만 실제로는 첨부파일이 아닌 악성 링크를 활용한 공격입니다. 공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되..

악성코드 분석 리포트 2020. 12. 9. 13:41

Zero-Click Wormable RCE Vulnerability Reported in Microsoft Teams 마이크로소프트 팀즈에서 클릭이 필요하지 않은 원격 코드 실행(RCE) 취약점이 발견되었습니다. 공격자가 이 취약점을 악용할 경우 특수 제작한 채팅 메시지를 보내는 방식으로 임의 코드를 실행하고 타깃의 시스템을 해킹할 수 있습니다. 이 이슈는 지난 8월 31일 Evolution Gaming의 보안 엔지니어인 Oscars Vegeris가 마이크로소프트에 제보한 후 10월 말에야 수정되었습니다. 마이크로소프트는 이 취약점에 CVE 번호를 부여하지는 않았지만, “사용자의 상호작용이 없이도 자동으로 업데이트되는 제품에는 CVE를 부여하지 않는 정책” 때문이라고 밝혔습니다. Vegeris는 이 취약..

국내외 보안동향 2020. 12. 9. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 한 부품 수출 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱 메일이 유포되고 있어 사용자의 주의가 필요합니다. 이번에 발견된 메일은 “PRD Tech 견적”이라는 제목으로 수신되었으며 사업자 등록증 첨부 파일 확인 후 견적 요청을 보내달라는 내용으로 사용자 클릭을 유도하여 사용자의 포털 사이트 계정을 탈취하기 위한 목적으로 발송되었습니다. [그림 1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면 첨부 파일에는 '사업자등록증.pdf', '견적 ROQ-283631.PDF.htm', '견적 ROQ-283631.zip'과 같은 파일명이 사용되었고, zip 파일 내 포함되어 있는 'Dongwoo Estimate.htm' 파일은 '견적 ROQ-..

악성코드 분석 리포트 2020. 12. 8. 15:24

Rana Android Malware Updates Allow WhatsApp, Telegram IM Snooping 안드로이드 악성코드 개발자들이 왓츠앱, 텔레그램, 스카이프 등 새로운 스파이 변종을 개발한 것으로 나타났습니다. 연구원들이 이전에 발견된 안드로이드 악성코드의 새로운 샘플을 발견했습니다. 그들은 이 앱을 APT39 이란 사이버 스파이 그룹과 관련된 것으로 추측했습니다. 이 새로운 변종에는 피해자의 스카이프, 인스타그램, 왓츠앱 메시지를 스누핑 할 수 있는 기능 등 새로운 감시 기능이 추가되었습니다. 미 연방 정부에 따르면, 이 악성코드의 개발자는 APT39 (Chafer, Cadelspy, Remexi, ITG07로도 알려짐) 및 이란의 정보 보안부와 연결된 유령 회사인 Rana Inte..

국내외 보안동향 2020. 12. 8. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 29일~12월 05일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 143건이고 그중 악성은 43건으로 30.07%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 38건 대비 43건으로 5건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 42건(악성 16건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형악성 이메일을 유형별로 살펴보면 43건 중 Attach-Malware형이 67.4%로 가장 많았고 뒤이어 Attach-Phishing형..

악성코드 분석 리포트 2020. 12. 8. 09:30

Cisco fixes Security Manager vulnerabilities with public exploits Cisco가 사전 인증 취약점 다수를 수정하기 위한 보안 업데이트를 공개했습니다. 익스플로잇이 공개된 이 취약점은 Cisco Security Manager에 영향을 미치며, 악용에 성공할 경우 공격자가 원격 코드 실행을 할 수 있습니다. Cisco Security Manager를 통해 다양한 Cisco 보안 및 네트워크 기기의 보안 정책을 관리할 수 있으며, 요약된 보고서를 확인하고 보안 이벤트 트러블 슈팅 기능을 사용할 수도 있습니다. 이 제품은 Cisco ASA 어플라이언스를 포함한 Cisco 보안 어플라이언스, Cisco Catalyst 6000 Series 스위치, Integrat..

국내외 보안동향 2020. 12. 8. 09:00

Ransomware gangs are now cold-calling victims if they restore from backups without paying 랜섬웨어 범죄자들이 해킹된 회사가 랜섬머니를 지불하지 않고 백업을 통해 데이터를 복구하려 시도할 경우 피해자를 협박하기 위해 전화 연락을 시도하는 것으로 나타났습니다. Arete Incident Response의 디렉터인 Evgueni Erchov는 이러한 전략을 지난 8월, 9월부터 목격했다고 밝혔습니다. Emsisoft는 과거에도 Sekhmet (현재 활동 중단), Maze (현재 활동 중단), Conti, Ryuk 등 랜섬웨어 그룹이 피해자에게 전화를 걸었다고 밝혔습니다. Covewave의 CEO이자 공동 창립자인 Bill Siegel은 Z..

국내외 보안동향 2020. 12. 7. 14:00

Metro Vancouver's transit system hit by Egregor ransomware Egregor 랜섬웨어가 메트로 밴쿠버(Metro Vancouver)의 운송 대행 업체인 TransLink를 공격해 서비스와 결제 시스템을 중단시켰습니다. 12월 1일, TransLink는 IT 시스템에 전화, 온라인 서비스, 신용카드 및 직불카드를 통한 요금 지불 기능에 영향을 미치는 문제가 발생했다고 밝혔습니다. 모든 교통 서비스는 이 IT 문제의 영향을 받지 않았습니다. 모든 지불 시스템을 복구한 후, TransLink는 이 IT 관련 문제가 랜섬웨어 공격으로 인해 발생했다고 밝혔습니다. “TransLink의 일부 IT 인프라가 랜섬웨어의 타깃이 되었음을 확인했습니다. 공격자는 프린트한 메시지를..

국내외 보안동향 2020. 12. 7. 09:00