안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. '전쟁과여성인권박물관'은 18일(토) 공식 홈페이지 안내를 통해 해킹 메일 발송 관련 주의 공지를 게시 하였습니다. 안녕하세요. 전쟁과여성인권박물관입니다.저희 전쟁과여성인권박물관 다음 메일 계정(war_women@hanmail.net)이 해킹을 당하여 많은 분들께 대량 스팸 메일이 발송되었습니다. 위 박물관 계정으로 발송된 '견적서 요청'이라는 제목의 메일은 내용 확인하지 마시고 삭제 조치하시길 당부드립니다. [그림 1] 전쟁과여성인권박물관 홈페이지 공지사항 화면 더불어 언론사 등을 통해 주의내용이 안내되고 있습니다. [연합뉴스] 일본군 위안부 박물관 사칭 이메일 유포…경찰, 주의 당부https://www.yna.co.kr/view/AKR20..

악성코드 분석 리포트 2020. 7. 19. 11:08

[7월 세번째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 택배는 잘 받으셨나요. 본인확인부탁드립니다. bit[.]ly/xxxxx2 고객님 배송하신 물품 주소틀림 조회부탁합니다 bit[.]ly/xxxxx3 긴급생할비 지원사업이 집수되었습니다 다시한번 확인 부탁드립니다 www.mxxxxx[.]net4 주문하신제품 도착했습니다 확인부탁드립니다 BitLy[.]KR/xxxxx5 사건 처리결과 통보 .내용확인 bit[.]ly/xxxxx 출처 : 알약M기간 : 2020년 7월 13일 ~ 2020년 7월 17일

안전한 PC&모바일 세상/스미싱 알림 2020. 7. 17. 18:39

BlackRock Malware Goes After Banking, Social and Other Mobile Apps BlackRock이라고 불리는 새로운 안드로이드 뱅킹 트로이목마가 337개의 앱 목록에서 비금융 목적으로 사용했던 자격 증명과 신용카드 정보를 탈취하는 것이 발견되었습니다. 이 악성코드는 ThreatFabric 분석가들에 의해 5월에 발견되었으며, LokiBot의 알려진 변종인 Xerxes 뱅킹 악성코드의 유출된 소스 코드에서 유래되었습니다. 다른 뱅킹 트로이목마와 달리 소셜, 커뮤니케이션, 네트워킹, 데이트 플랫폼에 중점을 두고 비금융 안드로이드 앱을 타깃으로 한다는 특이점을 가지고 있습니다. BlackRock은 구글 업데이트로 위장해 접근 서비스(Accessibility Servic..

국내외 보안동향 2020. 7. 17. 15:00

Scammers hacked Twitter and hijacked accounts using admin tool 해커들이 내부 사용자 관리 툴 및 시스템에 접근 권한을 얻어내 유명 트위터 계정 수십 개를 하이재킹한 것으로 나타났습니다. 이후 이 계정은 가상화폐 사기를 홍보하는데 악용되었습니다. 공격자는 유명 계정 다수를 통해 “비트코인을 보내면 2배로 돌려주겠다”라는 메시지를 올렸으며, 이를 통해 10만 달러 이상을 벌어들일 수 있었습니다. 해커는 IT 기업과 임원, 연예인, 가상화폐 거래소 등 여러 유명 트위터 계정을 탈취하여 사기를 저질렀습니다. 공격자는 버락 오바마 전 미국 대통령, 조 비덴 전 미국 부통령 및 카니예 웨스트, 빌 게이츠, 킴 카다시안 등 유명 인사와 애플, 우버, 비트코인 등 기술..

국내외 보안동향 2020. 7. 17. 10:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

Cisco fixes critical pre-auth flaws allowing router takeover Cisco가 라우터 및 방화벽 기기 다수에 영향을 미치는 치명적인 원격 코드 실행(RCE), 인증 우회, 정적 디폴트 크리덴셜 취약점을 수정하는 보안 업데이트를 공개했습니다. 이 취약점을 악용할 경우 기기 전체를 제어하게 될 수 있습니다. 추가로 Cisco Prime License Manager 소프트웨어의 권한 상승 취약점을 패치하는 보안 업데이트 또한 발표했습니다. Cisco에 따르면 이 취약점의 패치를 적용하는 것 이외에 대안은 따로 없습니다. 오늘 패치된 보안 취약점 5개는 CVSS 심각도 기본 점수 9.8을 받아 모두 치명적인 것으로 간주됩니다. 인증되지 않은 공격자가 원격으로 악용 가능..

국내외 보안동향 2020. 7. 16. 15:30

GoldenHelper, a new malware delivered via Chinese tax software Trustwave의 보안 연구원들이 세금 소프트웨어를 통해 배포되는 또 다른 악성코드 패밀리를 발견했습니다. 중국은행은 이 소프트웨어를 중국 내에서 운영되는 회사에 설치할 것을 요구해온 것으로 나타났습니다. 이를 발견한 연구 팀은 지난 6월 말 중국 내 일부 기업에서 설치해야 하는 세금 납부 소프트웨어(Aisino Intelligent)를 통해 새로운 백도어인 GoldenSpy가 배포된다는 것을 발견했습니다. 이 캠페인은 적어도 2020년 4월부터 활성화되었지만 전문가들은 2016년 12월경 시작된 것으로 보이는 샘플 일부를 발견했습니다. 보고서를 발행하고 며칠이 지난 후, 해킹된 기기에 Tr..

국내외 보안동향 2020. 7. 16. 10:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내에 견적 송장 확인 메일로 ‘Spyware.Infostealer.Azorult’(이하 Azorult)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 사용자에게 첨부된 ‘PI.001’ 압축 파일 실행을 유도합니다. ‘PI.001’ 안에는 ‘PI.exe 실행 파일이 있고, 이를 실행하게 되면 사용자 정보를 탈취하는 Azorult 악성코드에 감염됩니다. [그림] 이메일 화면 ‘Spyware.Infostealer.Azorult’는 C&C에 사용자 PC 정보로 생성한 감염 ID를 전송한 후 공격자의 명령에 따라 브라우저 사용자 정보, 히스토리 정보, 암호화폐 지갑 정보, FTP, Mail, 메신저 정보 등 사용자의 다양한 정보를 탈취하..

악성코드 분석 리포트 2020. 7. 16. 09:00