안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 배후에 가담한 것으로 알려져 있는 김수키(Kimsuky) APT 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착되었습니다. 이 공격은 지난 05월 29일 자유아시아방송을 통해 알려진 'DC 북인권단체에 북한 추정 사이버 공격 잇따라 포착' 내용과 연결되고 있습니다. ESRC는 이번 사례를 분석하면서 매우 흥미로운 특성을 발견했습니다. 금번 공격에 사용된 악성 MS 워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것입니다. 물론, 이러한 공격에는 자동화된 위협도구가 공유되어 사용될 수도 있지만, 반대로 의도를 가진 거짓표식(False..

악성코드 분석 리포트 2020. 6. 11. 13:46

Thanos ransomware auto-spreads to Windows devices, evades security 연구원이 공개한 안티 랜섬웨어 회피 기술인 RIPlace 및 다양한 고급 기능을 사용하고 있는 첫 번째 랜섬웨어인 Thanos가 발견되어 주의가 필요합니다. Thanos는 2019년 10월 개인 배포를 시작했지만 2020년 1월 피해자가 Quimera 랜섬웨어에 대한 도움을 요청하기 전까지는 활발히 활동하지 않았습니다. 시간이 지남에 따라 이 랜섬웨어에 대한 도움을 요청하는 사용자들이 점점 늘어나기 시작했으며 이 랜섬웨어는 결국 Hakbit으로 식별되었습니다. Recorded Future의 새로운 보고서에 따르면, 이 랜섬웨어의 이름은 Thanos이며 지난 2월부터 러시안 해킹 포럼에서..

국내외 보안동향 2020. 6. 11. 09:57

Malicious Android apps deactivated fraud code to bypass Google's security scans 구글이 최근 플레이 스토어에서 악성 안드로이드 애플리케이션 다수를 제거했습니다. 이 악성 앱들은 안드로이드 스마트폰에서 광고를 표시하고 브라우저 리디렉션을 수행한 것으로 나타났습니다. 이 악성 앱을 발견하여 구글에 제보한 White Ops 측은 이 앱이 모두 동일한 범죄 그룹이 개발한 것으로 보인다고 밝혔습니다. 연구원들은 이 그룹이 사용자에게 광고를 표시하기 위해 안드로이드 앱 최소 38개를 생성했으며 최근 생성된 앱은 소스코드 내에서 악성 애드웨어 기능을 비활성화하도록 수정된 것으로 보인다고 밝혔습니다. 이는 앱 등록 및 승인 과정에서 구글 플레이 스토어의 보..

국내외 보안동향 2020. 6. 10. 14:30

SMBleed: A New Critical Vulnerability Affects Windows SMB Protocol 사이버 보안 연구원들이 SMB(Server Message Block) 프로토콜에 영향을 미치는 치명적인 취약점을 발견했습니다. 공격자가 이를 악용할 경우 원격으로 커널 메모리를 유출할 수 있으며 이전에 공개된 웜 취약점과 병행할 경우 원격 코드 실행 공격까지 가능한 것으로 나타났습니다. "SMBleed(CVE-2020-1206)"라 명명된 이 취약점은 SMB의 압축 해제 기능에 존재합니다. 이는 취약한 윈도우 시스템을 네트워크를 통해 확산되는 악성코드 공격에 노출시키는 3개월 전 밝혀진 SMBGhost 또는 EternalDarkness 취약점(CVE-2020-0796)에 존재했던 것과 ..

국내외 보안동향 2020. 6. 10. 09:30

CallStranger vulnerability lets attacks bypass security systems and scan LANs 거의 모든 IoT 기기에 존재하는 핵심 프로토콜에서 심각한 취약점이 발견되었습니다. CallStranger라 명명된 이 취약점은 공격자가 스마트 기기에 DDoS 공격을 실행하고 피해자 네트워크 내부에 접근하기 위해 보안 솔루션을 우회하도록 허용합니다. 이로써 공격자가 일반적으로 접근이 금지된 곳까지 접근할 수 있습니다. CallStranger 취약점, UPNP에 영향 미쳐 CallStranger 취약점에 대한 정보가 공개된 사이트인 https://callstranger.com/에 따르면, 이 취약점는 스마트 기기 대부분에 포함된 프로토콜 모음인 UPnP(Univers..

국내외 보안동향 2020. 6. 9. 14:30

New Avaddon Ransomware launches in massive smiley spam campaign 새로운 Avaddon 랜섬웨어가 스마일, 윙크 이모티콘이 포함된 전 세계 사용자들을 노리는 대규모 스팸 캠페인을 통해 Avvaddon 랜섬웨어가 배포되고 있는 것으로 나타났습니다. Avaddon은 이달 초 활동을 시작했으며, 해커와 악성코드 배포자를 적극적으로 모집해 다양한 방법으로 랜섬웨어를 확산시키고 있습니다. Avaddon 랜섬웨어는 지난 2월 Nemty 랜섬웨어의 러브레터 캠페인을 연상시키는 스팸 캠페인을 통해 배포되고 있습니다. 내 사진이 마음에 드시나요? 이메일은 "Your new photo?" 또는 "Do you like my photo?"와 같은 제목을 사용하고, 메일 내용에는..

국내외 보안동향 2020. 6. 9. 09:28

New Tycoon ransomware targets both Windows and Linux systems 2019년 12월부터 시작된 소프트웨어 및 교육 업계 중소기업을 노리는 타깃 공격을 통해 새로운 ‘인간 개입’ 랜섬웨어 변종이 확산되고 있는 것으로 나타났습니다. BlackBerry와 KPMG의 보안 연구원들이 Tycoon이라 명명한 이 랜섬웨어는 다중 플랫폼 자바 기반 악성코드로 윈도우 및 리눅스 기기를 모두 암호화하는 것이 가능합니다. Tycoon은 운영자가 인터넷에 노출된 취약한 RDP 서버를 통해 피해자의 네트워크에 침투한 후 “트로이화된 JRE(Java Runtime Environment) 빌드를 포함하고 있는 ZIP 압축파일”의 형태로 직접 배포합니다. Tycoon은 지난 6개월 동안 ..

국내외 보안동향 2020. 6. 8. 16:30

Kupidon is the latest ransomware targeting your data 기업 네트워크뿐 아니라 개인 사용자의 데이터도 노리는 새로운 랜섬웨어인 Kupidon이 발견되었습니다. 지난 5월 9일 MalwareHunterTeam이 처음으로 발견한 이 랜섬웨어는 ID-Ransomware 서비스에 처음 등록된 후 급격히 확산되기 시작했습니다. 아직까지 이 랜섬웨어의 샘플은 발견되지 않은 상태이지만 피해자의 증언 및 업로드된 파일을 기반으로 일반적인 정보를 알아낼 수 있었습니다. 이 랜섬웨어는 개인 및 기업 유저를 모두 공격하며 노출된 RDP 서버를 통해 공격하는 것으로 보입니다. 공격자는 일단 접근 권한을 얻는데 성공하면 피해자 컴퓨터의 파일을 수동으로 암호화합니다. 파일을 암호화한 후 파..

국내외 보안동향 2020. 6. 8. 14:30