안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/24 오전부터 이력서로 위장한 랜섬웨어 이메일이 대량으로 유포되고 있어 주의가 필요합니다. 이번에 확인된 이력서 위장 랜섬웨어 이메일은 국내 대형 포털 이메일 서비스를 활용하고 있으며, 분석결과 몇년 전부터 꾸준히 이력서 및 지원서 관련 소재로 악성 이메일을 유포하고 있는 비너스락커 조직의 소행으로 판단됩니다. [그림 1] 이력서로 위장한 Makop 랜섬웨어 이메일 화면 비너스락커 조직의 경우, 2020년만 한정해도 1월부터 6월까지 쉬지 않고 주기적인 악성 이메일 공격을 진행해왔으며, 3월부터는 이메일에 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 첨부하여 공격을 수행하고 있습니다. 바로 몇주 전인 2020년 6월 초에도 비너스락커 조..

악성코드 분석 리포트 2020. 6. 24. 15:26

REvil ransomware scans victim's network for Point of Sale systems 시만텍 연구원들이 REvil 랜섬웨어 운영자가 피해자 네트워크에서 PoS 시스템을 탐색하기 시작했다고 밝혔습니다. Sodinokibi로도 알려진 REvil은 서비스형 랜섬웨어(RaaS)로 익스플로잇, 노출된 원격 데스크톱 서비스, 스팸, 해킹된 MSP 등을 통해 기업 네트워크를 해킹하는 것으로 알려져 있습니다. 운영자는 타깃 네트워크에 접근한 후 측면 이동을 통해 확산되며 서버와 워크스테이션의 데이터를 훔친 후 도메인 컨트롤러에 대한 관리자 접근 권한을 얻어 네트워크 상의 모든 기기를 암호화합니다. 시만텍이 관찰한 한 캠페인에서 REvil의 제휴 파트너는 상용 Cobalt Strike 침..

국내외 보안동향 2020. 6. 24. 14:00

New WastedLocker Ransomware distributed via fake program updates 러시안 사이버범죄 그룹인 Evil Corp가 새로운 랜섬웨어인 WastedLocker를 사용하기 시작한 것으로 나타났습니다. 이 랜섬웨어는 기업을 노린 타깃 공격에 사용됩니다. Indrik Spider라고도 알려진 Evil Corp 범죄 그룹은 ZeuS 봇넷의 제휴 파트너로 시작되었습니다. 시간이 지남에 따라, 이들은 피싱 이메일을 통해 뱅킹 트로이목마와 Dridex 다운로더를 배포하는데 집중했습니다. 이들의 공격이 진화함에 따라 그룹은 기업 네트워크를 노린 타깃 공격에서 Dridex 악성코드를 통해 배포되는 BitPaymer라는 랜섬웨어를 만들었습니다. NCC 그룹의 Fox-IT 보안 연..

국내외 보안동향 2020. 6. 24. 10:12

Over 100 New Chrome Browser Extensions Caught Spying On Users 구글이 최근 크롬 웹 스토어에서 석유와 가스, 금융, 의료부문을 노리는 “대규모 글로벌 감시 캠페인”의 일부로 불법적으로 사용자 민감 데이터를 수집한 확장 프로그램 106개 이상을 제거했습니다. 지난주 이를 발견한 Awake Security는 악성 브라우저 애드온이 모두 인터넷 등록 업체인 GalComm과 연결되어 있다고 밝혔습니다. 하지만 이 스파이웨어의 운영자가 누구인지는 명확히 밝혀지지 않았습니다. 이 캠페인과 구글 확장 프로그램은 피해자 기기의 스크린샷 촬영, 악성코드 로드, 클립보드 읽기, 토큰 및 사용자 입력 수집과 같은 작업을 수행했습니다. 이 문제의 확장 프로그램은 파일 포맷 변환..

국내외 보안동향 2020. 6. 23. 14:30

A new variant of the IcedID banking Trojan spreads using COVID-19 lures 새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다. Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다. 사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다. IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융..

국내외 보안동향 2020. 6. 23. 10:27

Discord modified to steal accounts by new NitroHack malware 프리미엄 Discord Nitro 서비스를 무료로 사용할 수 있는 핵으로 위장한 새로운 악성코드가 배포되고 있습니다. 이 악성코드는 다양한 브라우저에 저장된 사용자의 토큰, 신용 카드 정보를 훔치고 다른 사용자에게 확산되려고 시도합니다. Discord와 같은 개방형 플랫폼을 사용하면 클라이언트가 사용하는 JavaScript 파일을 쉽게 수정할 수 있습니다. 공격자는 악성 행위를 위해 클라이언트를 수정하려는 목적으로 이를 흔히 악용합니다. 새로운 악성코드인 NitroHack은 위와 같이 클라이언트를 수정하여 Discord 사용자 토큰, 저장된 신용카드 정보를 훔치고 Discord 다이렉트 메시지를 통..

국내외 보안동향 2020. 6. 22. 14:30

Hackers use fake Windows error logs to hide malicious payload 해커들이 스크립트 기반 공격 기반을 마련하기 위해 악성 페이로드를 디코딩하도록 설계된 16진수 값으로 위장한 ASCII 문자를 저장할 목적으로 가짜 에러 로그를 사용하고 있는 것으로 나타났습니다. 이 트릭은 결국 정찰 목적 스크립트를 전달하게 되는 중간 단계 PowerShell 명령을 포함한 더욱 긴 체인의 일부입니다. 행간 읽기 Huntress Labs는 타깃 기기에서 지속성을 획득한 공격자가 공격 루틴을 수행하기 위한 특이한 트릭을 실행하는 공격 시나리오를 발견했습니다. 공격자가 이미 타깃 시스템에 접근해 지속성을 획득했을 경우, 응용 프로그램의 윈도우 에러 로그를 모방한 “a.chk” 파일..

국내외 보안동향 2020. 6. 22. 09:39

Unpatched vulnerability identified in 79 Netgear router models Netgear 라우터 모델 79개에서 해커가 원격으로 장치를 제어하도록 허용하는 심각한 보안 취약점이 발견되었습니다. 이 취약점은 사이버 보안 업체인 GRIMM의 Adam Nichols, 베트남 ISP 업체인 VNPT 직원인 보안 연구원 d4rkn3ss에서 단독으로 발견했습니다. Nichols는 이 취약점이 Netgear 라우터 79개 모델의 펌웨어 버전 758개에 영향을 미치며 일부 펌웨어 버전은 2007년부터 배포되기 시작했다고 설명했습니다. 또한 버그는 취약한 Netgear 라우터 펌웨어 내 패킹된 웹 서버 컴포넌트에 존재한다고 밝혔습니다. 이 웹 서버는 라우터에 내장된 관리 패널을 지원..

국내외 보안동향 2020. 6. 19. 14:30