안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.저희는 07월과 09월에 다음과 같은 탈륨 조직관련 포스팅을 공개한 바 있습니다. ▲ [스페셜 리포트] 미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조 (2020-07-25)▲ 탈륨 조직, 개성공단 근무자 연구와 아태 연구 논문 투고로 사칭한 APT 공격 주의 (2020-09-03) 탈륨 조직의 지능형지속위협(APT) 공격이 여전히 지속되고 있으며, 지금도 활성도가 높은 상태입니다.최근 추가로 발견된 몇가지 사례를 살펴보고, 이들이 사용하는 공격기법을 알아보고자 합니다. ◇ 악성 DOC 문서 제작자가 사용한 계정 'like' 그리고... ESRC에서는 9월 중순부터 10월 초까지 탈륨 조직의 위협활..

악성코드 분석 리포트 2020. 10. 13. 22:09

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 04일~10월 10일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 157건이고 그중 악성은 93건으로 59.24%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 148건 대비 93건으로 55건이 감소했습니다. 일일 유입량은 하루 최저 9건(악성 6건)에서 최대 35건(악성 25건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 93건 중 Attach-Malware형이 79.6%로 가장 많았고 뒤이어 Attach-Phishi..

악성코드 분석 리포트 2020. 10. 13. 17:00

Hackers used VPN flaws to access US govt elections support systems 정부 지원을 받는 해커들이 VPN 취약점과 최근 발견된 윈도우 보안 취약점인 CVE-2020-1472를 악용하여 미국의 선거 지원 시스템을 해킹하여 접근한 것으로 나타났습니다. 미 CISA는 APT 공격자가 이 취약점 체인 전략을 통해 연방 정부 및 주 지방(SLTT: state, local, tribal, and territorial) 정부 네트워크, 선거 조직, 중요 인프라를 노리고 있다고 경고했습니다. 선거 지원 시스템 해킹돼 CISA와 FBI에서 공동 발표한 보안 권고에서는 아래와 같이 언급했습니다. “공격자의 타깃이 선거 관련 정보에 가까이 접근 가능하기 때문에 선택된 것 같지..

국내외 보안동향 2020. 10. 13. 14:00

QBot uses Windows Defender Antivirus phishing bait to infect PCs Qbot 봇넷이 악성코드를 배포하기 위해 새로운 템플릿을 사용하기 시작했습니다. 이들은 사용자가 엑셀 매크로를 활성화하도록 속일 목적으로 가짜 윈도우 디펜더 안티바이러스 테마를 사용합니다. QakBot 또는 QuakBot으로도 알려진 Qbot은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성코드입니다. 피해자들은 보통 다른 악성코드에 감염되거나 피싱 캠페인을 통해 Qbot에 감염됩니다. 피싱 캠페인은 가짜 인보이스, 지불 및 은행 정보, 스캔 문서 등 다양한 미끼를 사용합니다. 이 스팸 메일에는 악성 엑셀(.xls)파일이..

국내외 보안동향 2020. 10. 13. 09:00

Underestimating the FONIX – Ransomware as a Service could be an error FONIX는 비교적 새로운 서비스형 랜섬웨어입니다. 운영자는 랜섬웨어를 운영하기 전에는 바이너리 크립터/패커를 전문으로 개발했습니다. FONIX 서비스형 랜섬웨어 운영자들은 다양한 사이버 범죄 포럼에서 여러 제품을 광고했습니다. FONIX는 지난 2020년 7월 처음으로 등장했으며 다행히도 감염 수는 적은 편입니다. 전문가들은 이 랜섬웨어의 제작자들이 제휴 파트너들에게 수수료를 요구하지 않고 제휴 네트워크의 랜섬 중 일부만 챙겨간다는 점을 지적했습니다. 하지만 보안 업체와 당국에서 FONIX RaaS를 과소평가할 경우 이는 빠르게 확산될 수 있을 것이라 예상했습니다. “FONIX는..

국내외 보안동향 2020. 10. 12. 14:00

Ransomware gang now using critical Windows flaw in attacks 마이크로소프트가 사이버 범죄자들이 공격 시 ZeroLogon 취약점의 익스플로잇 코드를 악용하기 시작했다고 경고했습니다. 회사는 9월 하반기 사이버 스파이 그룹인 MuddyWater(SeedWorm)에서 실행한 공격을 발견 후 공지했습니다. 이번 공격의 배후에 있는 공격자는 2014년 Dridex 뱅킹 트로이목마를 배포를 시작으로 활동을 시작한 TA505입니다. 이 그룹은 피해자를 딱히 가리지 않는 것으로 알려져 있습니다. 지난 몇 년 동안 공격자는 백도어부터 랜섬웨어까지 다양한 악성코드를 배포하는 공격을 실행해왔습니다. 최근에는 Clop 랜섬웨어를 배포한 것으로 나타났습니다. 이들은 작년 네덜란드의..

국내외 보안동향 2020. 10. 12. 09:00

Comcast cable remotes hacked to snoop on conversations 보안 연구원들이 Comcast의 XR11 Xfinity Voice Remote를 분석하던 중 물리적 접근이나 사용자와의 상호작용 없이도 도청 장치로 전환할 수 있는 방법을 발견했습니다. WarezThe Remote라 명명된 이 공격은 리모컨의 제어권을 탈취하여 약 20미터 거리에서도 대화를 도청할 수 있습니다. 단방향 암호화 적외선을 사용하는 일반 리모컨과는 달리 Comcast의 XR11은 무선 주파수를 사용하여 케이블 셋톱 박스와 통신하며, 음성 명령을 수신하는 내장 마이크가 포함되어 있습니다. 이 기기의 1,800만 대 이상이 미국 전역의 가정에서 사용되고 있습니다. Guardicore의 연구원들이 두 ..

국내외 보안동향 2020. 10. 8. 14:00

[10월 첫번째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] CJ대한통운 보이는ARS입니다 아래 URL을 클릭해주세요 TInYURl[.]com/xxxxx2 고객님:주문 상품을 입구 옆에 보관하여 사진을 보다 me2[.]kr/xxxxx3 물류 전표번호 58****66 지정지 1일 후 배송 예정 CUtT[.]ly/xxxxx4 [Web발신] 통지 내용을 확 인하세요:xx.xxxxx[.]info5 국 민 건강안전 신규정 확인요망→ bitly[.]kr/xxxxx 출처 : 알약M기간 : 2020년 10월 5일 ~ 2020년 1..

안전한 PC&모바일 세상/스미싱 알림 2020. 10. 8. 09:45