Alleged source code of Cobalt Strike toolkit shared online 광범위하게 사용되는 Cobalt Strike post-exploitation 툴킷의 소스코드가 GitHub 저장소에서 유출된 것으로 나타났습니다. Cobalt Strike는 합법적인 침투 테스팅 툴킷으로 공격자들이 원격으로 “피해자의 시스템에서 셸 생성, 파워셸 스크립트 실행, 권한 상승, 리스너를 생성하기 위한 새로운 세션 생성”이 가능하도록 해킹된 기기에 “비콘”을 배치하는데 사용합니다. 공격자들은 해킹된 네트워크에서 지속적인 원격 접속 권한을 얻어내기 위해 Cobalt Strike의 크랙된 버전을 사용합니다. 일반적으로 랜섬웨어 공격에 주로 이용됩니다. 12일 전, Cobalt Strike 4...

국내외 보안동향 2020. 11. 12. 09:05

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다. ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다. 현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태..

악성코드 분석 리포트 2020. 11. 12. 01:48

Windows 10 Intel microcode released to fix new CPU security bugs 마이크로소프트가 인텔 CPU에서 공개된 새로운 하드웨어 취약점을 수정하기 위해 윈도우 10 20H2, 2004, 1909 및 구 버전용 인텔 마이크로업데이트를 공개했습니다. 인텔은 CPU에서 취약점을 발견하면 OS에서 CPU의 취약점을 고치거나 최소한 완화할 수 있는 마이크로코드 업데이트를 공개합니다. Graz University of Technology, CISPA Helmholtz Center for Information Security, the University of Birmingham의 연구원 그룹이 새로운 인텔 CPU 사이드 채널 취약점인 ‘Platypus’를 공개했습니다. 이 ..

국내외 보안동향 2020. 11. 11. 14:00

Watch Out! New Android Banking Trojan Steals From 112 Financial Apps 보안 연구원들이 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 4개인 “Tetrade”를 발견한 지 4개월이 지난 후, 이 공격자들이 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가한 것으로 나타났습니다. 카스퍼스키의 GReAT 팀에 따르면, 브라질의 공격 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일, 앙골라, 모잠비크의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 “Ghimob”을 배포했습니다. "Ghimob은 완전한 기능을 갖춘 주머니 속 스파이입니다. 일단 감염되면, 해커는 기기에 원격으..

국내외 보안동향 2020. 11. 11. 09:02

Fake Microsoft Teams updates lead to Cobalt Strike deployment 랜섬웨어 운영자들이 시스템을 Cobalt Strike를 배포하는 백도어에 감염시키는 가짜 마이크로소프트 팀즈 업데이트 악성 광고를 사용하고 있는 것으로 나타났습니다. 이 공격은 다양한 업계의 조직을 노리며, 최근에는 코로나19로 인해 화상 회의 솔루션을 사용하는 교육 부문(K-12)을 집중하여 공격했습니다. 인포스틸러에서 Cobalt Strike까지 Bleeping Computer에서 확인한 비공개 보안 권고에 따르면, 마이크로소프트는 고객들에게 이 가짜 업데이트(FakeUpdates) 캠페인에 대해 경고하며 Defender ATP 서비스를 통해 공격이 끼치는 영향을 줄일 수 있는 방법을 제안했..

국내외 보안동향 2020. 11. 10. 14:00

This new malware wants to add your Linux servers and IoT devices to its botnet 새로운 형태의 악성코드가 리눅스 서버와 IoT 기기를 노리고 있는 것으로 나타났습니다. 이 악성코드는 위 기기를 클라우드 컴퓨팅 인프라를 노린 해킹 캠페인의 1단계로 추측되는 봇넷에 추가합니다. Juniper Threat Labs의 사이버보안 연구원이 발견한 이 악성 웜은 컴포넌트 코드를 저장하는데 GitHub과 Pastebin을 사용하고, 리눅스 기반 x86 서버, Linux ARM, MIPS 기반 IoT 기기를 해킹하는데 12가지 방법을 사용하여 Gitpaste-12로 명명되었습니다. 위 12가지 방법에는 Asus, Huawei, Netlink 라우터 및 Mon..

국내외 보안동향 2020. 11. 10. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 11월 01일~11월 07일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 73건이고 그중 악성은 33건으로 45.21%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 56건 대비 33건으로 23건이 감소했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 20건(악성 10건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 33건 중 Attach-Malware형이 57.6%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2020. 11. 10. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 여전히 맹위를 떨치고 있습니다. 국민들의 바뀐 생활 환경에 발맞추어 스미싱 공격자들도 적응을 하고 있는 것으로 보입니다. 이전과는 다른 생활 환경에 대다수 국민들의 생활 패턴도 바뀌어 생필품과 외식은 온라인을 통하는 것이 일상이 되었습니다. 이런 바뀐 생활 패턴에 택배는 코로나19 이전 상황과 비교할 수 없을 정도로 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 10월 스미싱 트렌드 ESRC에서 수집 한 10월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 10월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. [표 1] 수집 스미싱 문자들의 키워드 기반 분류 위 표를..

악성코드 분석 리포트 2020. 11. 9. 18:01