안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 공격자들이 가장 애용하는 모바일 기기 공격 기법일 것입니다. 더불어 코로나19의 창궐로 인한 언택트의 확산으로 급증한 택배 문자가 공격자들에게는 좋은 공격 방법이 되었습니다. 코로나19 사태 초기의 스미싱 공격은 코로나19 관련 이슈가 주를 이루었지만 강력한 사회적 거리 두기의 시행에 따라 택배 문자가 급증하게 되자 공격자들도 이에 편승하여 택배를 사칭하는 스미싱 공격을 시도하고 있습니다. [그림] 악성 앱 설치 및 실행 화면 사용자가 스미싱 공격을 통해 악성 앱을 설치하게 되면 개인 정보가 탈취되고 연락처에 존재하는 지인들에게도 스미싱 공격 문자가 전달되는 피해를 입을 수도 있습니다. 따라서 피해를 입기 전 예방하는 것이 ..

악성코드 분석 리포트 2020. 6. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 하반기 발견된 Nemty 램섬웨어는 최근까지 이력서를 위장하여 기업으로 다량 유포되었습니다. 최근 세계적으로 코로나19 전파되고 있는 가운데 공격자는 이를 이용하여 사용자로 하여금 공격을 유도합니다. 그뿐만 아니라 기존과 다르게 코드를 변화시켜 백신 탐지 우회를 시도하였습니다. [그림] 파일 암호화 완료 후 바탕화면 변경 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 해당 랜섬웨어는 2019년 하반기부터 유포되었던 Nemty 랜섬웨어의 변종으로써 필요한 데이터와 감염 PC 정보 등을 저장하는 레지스트리가 동일합니다. 추가적으로 뮤텍스 값 등에서 러시아어를 이..

악성코드 분석 리포트 2020. 6. 16. 15:15

Ransomware attack disrupts operations at Australian beverage company Lion 호주의 음료 회사인 Lion이 랜섬웨어에 감염되어 제조 프로세스 및 고객 지원 운영에 문제를 겪은 것으로 나타났습니다. Lion은 호주와 뉴질랜드에서 운영되는 일본 음료 대기업인 Kirin의 자회사입니다. 이 회사는 맥주, 와인, 탄산음료, 즉석 음료 및 주류, 유제품 및 기타 음료를 생산 및 판매합니다. 이 감염 사고는 6월 9일 발생했으며, 며칠 후 회사는 이 사고가 랜섬웨어로 인해 발생한 것이라 확인했습니다. 회사는 이 사이버 공격으로 인해 맥주 생산이 지연될 것이라 밝혔습니다. 회사는 공격에 대응하기 위해 일부 제조 공장을 폐쇄했으며, 아직까지도 운영하지 않고 있는 ..

국내외 보안동향 2020. 6. 16. 14:30

안녕하세요? 이스트시큐리티입니다. 금일(6/16)자 기사를 통해 사상 최대 규모의 금융정보 유출 사건이 언론에 공개되었습니다. 무려 1.5테라바이트(TB) 분량의 신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 유출된 사건인데요, 해당 사건을 수사해 온 서울지방경찰청 보안수사대가 지난 3월 이스트시큐리티에 공식 협조 요청을 전달해 왔고, 최근 3개월 간 이스트시큐리티 시큐리티대응센터(ESRC)에서 이 사건에 대한 분석 작업을 수행해왔습니다. 이스트시큐리티의 분석 결과, 1.5테라바이트(TB) 용량의 외장하드에서 발견된 각종 금융·개인정보는 중국산 원격제어 악성코드 '고스트렛(Gh0stRAT)'으로 카드 결제기 포스(POS) 단말기를 공격해 유출된 것으로 확인되었습..

이스트시큐리티 소식 2020. 6. 16. 14:22

South African bank to replace 12m cards after employees stole master key 남아프리카 우체국 은행인 Postbank에서 직원이 마스터키를 훔친 사고가 발생했습니다. 은행은 이로 인한 사기성 거래로 320만 달러 이상을 잃었으며 고객의 카드 1,200만 장 이상을 재발급 해야 할 위기에 처했습니다. 남아프리카의 지역 언론인 Sunday Times에서는 이 사고가 2018년 12월 프리토리아 시의 구 데이터센터에서 누군가 은행의 마스터키를 종이에 프린트했을 때 발생했다고 밝혔습니다. 이 은행은 유출 사건의 원인이 내부에 있다고 보고 내부 보안 감사를 진행한 것으로 알려졌습니다. 마스터키는 36자리 코드(암호화키)로 이 키를 가진 사람은 은행의 운영을 해..

국내외 보안동향 2020. 6. 16. 09:25

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. 특히 이번 문서 파일은 본문 내용에 2020년 초 국내에서 큰 이슈가 되었던 악질적인 디지털 성범죄 이슈였던 'n번방' 관련 이슈를 다루고 있는 것이 특징입니다. (제목 : nth_room_event1.doc) 이번에 확인된 악성문서는 기존 공격방식과 유사하게 문서 실행 시 아래와 같이 매크로 실행을 유도합니다. 이전에 발견된 Konni 악성코드 문서와 동일하게 본문 내용 색깔이 흰색으로 작업되어 있는 것을 확인할 수 있습니다. [그림 1] nth_room_event1.doc 실행 화면 매크로 기능은 %userprofile% 경로에 ‘ok.exe’ 파일..

악성코드 분석 리포트 2020. 6. 15. 17:56

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 코로나19이슈 상황에서 비말 차단용 마스크를 공급하는 유명업체 사이트를 교묘하게 베낀 가짜 사이트로 인해 마스크를 구입하고자 하는 사용자들의 금전적인 피해가 속출되고 있어 주의가 필요합니다. [그림 1] 유명 마스크 판매 사이트와 사기사이트 비교 화면 이번에 발견된 사기 사이트는 정상적인 마스크 판매 사이트 도메인과 한 글자만 변경한 가짜 도메인을 가지고 있으며, 국내 포털사이트 카페 등에서 해당 가짜 도메인이 언급된 내용이 유포되고 있습니다. - 정상 마스크 판매 사이트 도메인 hxxp://welkeepsmall[.]com - 가짜 마스크 판매 사이트 도메인 hxxp://welkeesmall[.]com [그림 2-1] 포털사이트 카페에서 ..

악성코드 분석 리포트 2020. 6. 15. 17:17

D-Link leaves severe security bugs in home router unpatched D-Link가 소비자용 DIR-865L 무선 라우터 모델에 존재하는 보안 취약점 6개 중 3개를 수정하는 펌웨어 업데이트를 공개했습니다. 패치한 취약점 중 하나는 치명적, 하나는 위험도 높음으로 분류되었습니다. 공격자는 이 취약점을 악용하여 임의 명령어 실행, 민감 정보 탈취, 악성코드 업로드, 데이터 삭제를 할 수 있습니다. D-Link의 DIR-865L 모델은 2012년 공개되었으며 미국 고객들에게는 더 이상 지원이 제공되지 않지만, 유럽 국가에서는 판매 종료(End of Sale) 상태로 기재되어 있습니다. End of Sale(EoS)는 제품은 더 이상 판매되지 않지만 공급자가 여전히 지원을..

국내외 보안동향 2020. 6. 15. 14:30