Fake ransomware decryptor double-encrypts desperate victims' files 이미 피해를 입어 무료 랜섬웨어 복호화 툴을 찾는 사용자들을 노리는 가짜 STOP(Djvu) 랜섬웨어 복호화 툴이 배포되고 있는 것으로 나타났습니다. 사용자의 파일을 무료로 복호화해 주는 대신 더욱 심각한 랜섬웨어에 감염시킵니다. Maze, REvil, Netwalker, DoppelPaymer와 같은 랜섬웨어는 가치가 높은 타깃을 노려 언론의 주목을 받았습니다. 하지만 STOP(Djvu)는 매일 이들을 모두 합친 것보다 더 많은 사용자를 감염시키고 있습니다. STOP 랜섬웨어는 랜섬웨어 식별 서비스인 ID-Ransomware에 매일 600건 이상 제보되고 있으며, 2019년 가장 활발..

국내외 보안동향 2020. 6. 8. 08:49

▶ 변칙적 워터링 홀 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부가 연계된 것으로 알려진 '금성121(Geumseong121)' 공격 그룹이 새로운 방식을 도입해 지능형지속위협(APT)공격을 수행하고 있어 각별한 주의가 요구됩니다. ESRC는 지난 2020년 5월 19일, 【금성121 조직, 국회 사무처 사칭으로 APT 공격 수행】 포스팅을 공개한 바 있습니다. 이외에도 【통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의】 내용 등으로 이들 그룹의 활발한 위협 인텔리전스 정보를 지속적으로 공유하고 있습니다. 한편 이번에 분석된 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중..

악성코드 분석 리포트 2020. 6. 5. 15:39

Two Critical Flaws in Zoom Could've Let Attackers Hack Systems via Chat 수업, 비즈니스, 친구와의 대화를 위해 Zoom을 사용하고 계시다면 윈도우, 맥 OS, 리눅스 컴퓨터 환경에서 소프트웨어를 꼭 최신 버전으로 업그레이드하시기 바랍니다. Cisco Talos의 사이버 보안 연구원들이 Zoom 소프트웨어에서 공격자가 그룹 채팅 멤버나 개인의 시스템에 원격으로 해킹하여 침투하도록 허용할 수 있는 치명적인 취약점 2개를 발견했습니다. 이 두 취약점 모두 디렉터리 접근 취약점으로 취약한 Zoom 소프트웨어를 사용하는 시스템에 악성코드를 실행하기 위해 임의 파일을 쓰거나 심는데 악용될 수 있습니다. 연구원들에 따르면, 해커가 이 취약점 악용에 성공할 경우..

국내외 보안동향 2020. 6. 4. 14:30

Newly Patched SAP ASE Flaws Could Let Attackers Hack Database Servers SAP의 Sybase 데이터베이스 소프트웨어에서 치명적인 취약점이 발견되었습니다. 이 취약점을 악용할 경우 권한이 없는 공격자가 타깃 데이터베이스를 완전히 제어할 수 있으며, 특정 경우에는 OS까지 제어할 수 있는 것으로 나타났습니다. Trustwave는 트랜잭션 기반 응용 프로그램을 대상으로 하는 관계형 데이터베이스 관리 소프트웨어인 Sybase의 ASE(Adaptive Server Enterprise)에서 취약점 6개를 발견했습니다. 이 사이버 보안 회사는 해당 제품의 보안을 테스트하던 중 취약점을 발견했으며, 그중 하나는 CVSS 점수 9.1을 받았다고 밝혔습니다. 가장 치명..

국내외 보안동향 2020. 6. 4. 08:45

VMware Cloud Director flaw lets hackers take over virtual datacenters VMware Cloud Director 10.1.0 이전 버전용 시험 계정을 제공하는 조직은 가상 인프라의 개인 클라우드가 노출될 위험이 있는 것으로 나타났습니다. 공격자가 이를 악용할 경우 개인 클라우드를 완전히 탈취할 수 있습니다. VMware는 보안 권고를 발행해 VMware Cloud Director (vCloud Director) 버전 10.0.0.2, 9.7.0.5, 9.5.0.6, 9.1.0.4에 코드 인젝션 취약점이 존재하며, 원격 코드 실행으로 이어질 수 있다고 밝혔습니다. Cloud Director 소프트웨어는 전 세계의 클라우드 서비스 제공 업체에서 클라우드 환..

국내외 보안동향 2020. 6. 3. 14:30

REvil ransomware gang launches auction site to sell stolen data REvil(Sodinokibi) 랜섬웨어 운영자가 해킹한 회사의 데이터를 판매하기 위해 eBay와 유사한 경매 사이트를 런칭했습니다. 이 경매 포털은 REvil 랜섬웨어가 가장 최근 내 놓은 협박 전략으로, 다시 한번 랜섬웨어 계의 트렌드세터로 자리매김했습니다. REvil 랜섬웨어는 가장 활발히 활동하고 공격적인 랜섬웨어 중 하나로 알려져 있습니다. 이들은 일반 소비자가 아닌 기업을 노립니다. 이들은 네트워크 어플라이언스에 존재하는 취약점을 악용하여 기업 네트워크에 침투해 피해자의 파일을 암호화한 후 천문학적인 랜섬머니를 요구합니다. (평균 금액 ~$260,000 상당) 또한 REvil은 다..

국내외 보안동향 2020. 6. 3. 09:37

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 조직의 새로운 '스모크 스크린(Smoke Screen)' APT 캠페인 공격이 등장했습니다. 이들 조직은 최근 마이크로소프트사의 doc 문서파일 형식으로 주로 공격을 수행했는데, 예전처럼 한컴사의 hwp 문서 형식과 exe 실행 파일까지 복합적으로 사용하고 있는 것이 확인 되었습니다. 공격자들은 스피어 피싱(Spear Phishing) 대상에 따라 공격형식을 다중으로 사용하는 위협전술을 수행하고 있습니다. 또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 exe 실행파일을 그대로 사용하기도 합니다. 1. doc 문서 포맷을 이용한 공격 사례 분석 [그림 1] DOC 문서를 이용한 공격..

악성코드 분석 리포트 2020. 6. 2. 18:48

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다. [그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문 [그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문 [그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문 '긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다. 메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며,..

악성코드 분석 리포트 2020. 6. 2. 17:18