안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다. [그림 1] 이력서 위장 이메일 화면 [그림 2] 첨부 파일 코드 분석 첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. [그림 3] 볼륨 섀도 삭제 화면 또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종..

악성코드 분석 리포트 2020. 11. 16. 15:52

New Jupyter malware steals browser data, opens backdoor 러시아어를 구사하는 해커가 새로운 악성코드를 사용해 사용자의 정보를 훔쳐온 것으로 나타났습니다. Jupyter라 명명된 이 새로운 공격은 오랫동안 발견되지 않았으며 개발 주기가 매우 빨랐습니다. Jupyter의 목적은 다양한 소프트웨어의 데이터를 수집하는 것입니다. 전달을 지원하는 악성코드를 통해 감염된 시스템에 백도어를 생성하는 것도 가능했습니다. 인스톨러, 6개월 동안 탐지 회피해 이 악성코드 변종은 지난 10월 미국의 한 대학에서 사고 대응 중 발견되었습니다. 하지만 포렌식 데이터에 따르면 이전 버전은 지난 5월부터 배포되어 온 것으로 나타났습니다. 사이버 보안 회사인 Morphisec의 연구원들은 ..

국내외 보안동향 2020. 11. 16. 14:00

New TroubleGrabber malware targets Discord users Netskope의 보안 연구원들이 새로운 크리덴셜 스틸러를 발견했습니다. TroubleGrabber라 명명된 이 악성코드는 디스코드(Discord) 첨부파일을 통해 배포되며 디스코드 웹 훅을 사용해 훔친 데이터를 운영자에게 전송합니다. 이 악성코드는 AnarchyGrabber 등 디스코드 게이머를 노리는 다른 악성코드와 기능이 동일하지만, 공격자는 다른 것으로 보입니다. TroubleGrabber는 “Itroublve”라는 이름을 사용하는 개인이 개발했으며, 현재 여러 공격자들이 이를 사용하고 있습니다. 이 악성코드는 드라이브-바이 다운로드 방식으로 배포됩니다. 웹 브라우저 토큰, 디스코드 웹 훅 토큰, 웹 브라우저 ..

국내외 보안동향 2020. 11. 16. 09:00

Google addresses two new Chrome zero-day flaws 구글이 크롬 버전 86.0.4240.198에서 실제 공격에 활발히 악용되는 새로운 제로데이 취약점 2개를 수정했습니다. 구글은 3주만에 크롬의 제로데이 취약점 총 5개를 수정했습니다. CVE-2020-16013, CVE-2020-16017로 등록된 이 제로데이 취약점은 익명으로 제보된 것으로 나타났습니다. 구글은 이 취약점이 실제 공격에서 어떻게 악용되는지는 공개하지 않았습니다. CVE-2020-16013 취약점은 V8 크롬 컴포넌트의 부적절한 구현으로 인해 발생하며 2020년 11월 9일 익명으로 제보되었습니다. CVE-2020-16017 취약점은 Site Isolation에 존재하는 use-after-free 메모리 ..

국내외 보안동향 2020. 11. 13. 14:00

[11월 두번째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 상품이 제 시간에 발송되었습니다. 정확한 배송 주소를 확인하십시오. hxxp://asq[.]kr/xxxxxxxxx2 C J 대한통운 가 배송되었습니다. 시간을 확인하 세 요 hxxp://t2m[.]kr/xxxxxx3 러브 도시락 배송 시작 확인 해주세요 hxxp://asq[.]kr/xxxxxxxxx4 구매 한 선물이 정시에 배송되었습니다 hxxp://asq[.]kr/xxxxxxxxx5 2020년11월【건강검진】내용이 발 송되었 습니다 진단서⊙보기 reurl[.]kr/xx..

안전한 PC&모바일 세상/스미싱 알림 2020. 11. 13. 10:15

Animal Jam kids' virtual world hit by data breach, impacts 46M accounts 인기있는 가상 어린이 놀이터 서비스인 Animal Jam에서 데이터 유출이 발생해 4,600만 사용자 계정이 영향을 받았습니다. Animal Jam은 WildWorks에서 개발한 가상 세계로 어린이들이 다른 회원들과 함께 온라인 게임을 플레이할 수 있습니다. 타깃은 7~11세 어린이들이며, 매 1.4초마다 새로운 플레이어가 가입하며 어린이들이 만든 동물 아바타는 3억 개 이상입니다. 한 공격자가 해커 포럼에서 Animal Jam의 데이터베이스 2개를 무료로 공유했습니다. 이들은 유명 웹사이트 해커인 ShinyHunters로부터 데이터를 받았다고 밝혔습니다. 도난당한 두 데이터베..

국내외 보안동향 2020. 11. 13. 09:00

안녕하세요? 이스트시큐리티입니다. 최근 몇 달 사이에 국제 해킹 조직 활동이 눈에 띄게 늘었습니다. 특히 북한과 연계한 것으로 보이는 조직 '탈륨(Thallium)'이 활발하게 움직이고 있습니다. 올해 8월에는 언론사 기자를 대상으로 국내 대형 포털의 피싱 사이트를 제작해 계정을 탈취하려는 시도가 있었고, 같은 달 말에는 대북 분야 종사자를 상대로 국내 대기업의 클라우드 사진 저장 서비스를 사칭해 피싱 이메일을 보내기도 했습니다. 9월 초에는 개성공단 등 학술 연구논문 투고를 사칭해 북한 전문가를 노린 공격을 시도한 바 있으며, 10월 초에는 통일부 북한인권기록센터로 위장해 대북관련 단체를 대상으로 스피어피싱을 시도하기도 했습니다. 불과 지난주에도 미국 대선 결과 및 향후 대북 정책 변화 등을 예상한 언..

전문가 기고 2020. 11. 13. 09:00

Play Store identified as main distribution vector for most Android malware 최근 연구에서 안드로이드 기기에 악성코드가 설치되는 주요 원인으로 구글 공식 플레이스토어를 꼽았습니다. 연구원들은 NortonLifeLock의 연구원들이 제공한 원격 측정 데이터를 통해 2019년 6, 7, 8, 9월 동안 안드로이드 기기 1,200만대 이상에 설치된 앱의 출처를 분석했습니다. 연구원들은 고유 앱 790만개에 대한 총 3,400 APK(안드로이드 어플리케이션) 설치를 조사했습니다. 이들은 분석한 앱의 10~24%가 악성 앱 또는 사용자가 원하지 않는 애플리케이션일 수 있다고 밝혔습니다. 연구원들은 악성 앱이 사용자의 기기에 도달하는 경로를 알아내기 위해 “..

국내외 보안동향 2020. 11. 12. 14:00