안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. * 코니(Konni) APT 조직 2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 이번에 발견된 공격은 스탠포드(Stanford) 대학교 ..

악성코드 분석 리포트 2020. 5. 27. 08:45

RangeAmp attacks can take down websites and CDN servers 중국 학계의 한 연구팀이 HTTP 패킷을 악용하여 웹 트래픽을 증폭시키고 웹사이트와 CDN 네트워크를 다운시키는 새로운 방법을 발견했습니다. RangeAmp라고 불리는 이 새로운 DoS 기법은 잘못 구성된 HTTP 범위 요청 속성을 익스플로잇 합니다. HTTP 범위 요청은 HTTP 표준 중 하나이며 클라이언트(일반적으로 브라우저)가 서버의 특정 부분의 파일만 요청하도록 만드는 것입니다. 이 기능은 제어된 또는 제어되지 않은 상황에서 트래픽을 일시 정지하고 재개하기 위해서 만들어졌습니다. HTTP 범위 요청 표준이 5년 넘게 국제 인터넷 표준화 기구(IETF)에서 논의되고 있지만 이것의 유용성으로 인해 이미..

국내외 보안동향 2020. 5. 26. 16:30

Hacker extorts online shops, sells databases if ransom not paid 다양한 국가의 온라인 쇼핑몰 SQL 데이터베이스 스무 개 이상이 공개 웹사이트에서 판매되고 있는 것으로 나타났습니다. 판매자는 총 150만 건 이상에 달하는 기록을 판매하고 있지만, 그가 보유한 훔친 데이터의 양은 더욱 많습니다. 공격자들은 공개 웹에서 접근 가능한 제대로 보호되지 않은 서버를 해킹하여 데이터베이스를 복사한 후 랜섬머니를 요구하는 메시지를 남깁니다. 공격자가 벌어들인 금액 피해자들은 랜섬노트에 기재된 지갑에 10일 내로 0.06 비트코인(현재 기준 60만 원 상당)을 보내야 합니다. 그렇지 않으면 해커가 데이터베이스를 공개하거나 마음대로 사용할 것입니다. 공격자가 사용한 지갑..

국내외 보안동향 2020. 5. 26. 15:00

Thousands of enterprise systems infected by new Blue Mockingbird malware gang 엔터프라이즈 시스템 수천 곳이 Blue Mockingbird 해킹 그룹의 가상화폐 채굴 악성코드에 감염된 것으로 보입니다. Red Canary의 악성코드 분석가가 이달 초 발견한 Blue Mockingbird 그룹은 2019년 12월부터 활동을 시작한 것으로 추측됩니다. 연구원들은 Blue Mockingbird가 ASP.NET 앱을 사용하며 UI 컴포넌트로 Teleric 프레임워크를 사용하는 인터넷에 공개된 서버를 공격한다고 밝혔습니다. 해커들은 CVE-2019-18935 취약점을 악용하여 해킹한 서버에서 웹 셸을 설치합니다. 이후 Juicy Potato 기술을 통해..

국내외 보안동향 2020. 5. 26. 09:59

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

Ransomware encrypts from virtual machines to evade antivirus Ragnar Locker 랜섬웨어가 피해자의 파일을 암호화하기 위해 윈도우 XP 가상 머신에 배치되어 호스트에 설치된 보안 소프트웨어의 탐지를 우회하고 있는 것으로 나타났습니다. Ragnar Locker는 2019년 12월 말 활동을 시작한 비교적 새로운 랜섬웨어로 주로 기업 네트워크를 노립니다. 이 랜섬웨어는 에너지 대기업인 EDP(Energias de Portugal)를 공격하여 암호화되지 않은 파일 10TB를 훔쳤다고 주장하며 랜섬머니로 1090만 달러를 요구한 것으로 유명합니다. Ragnar Locker는 네트워크에 배포될 때 탐지를 회피하기 위한 새로운 방법을 사용한 전적이 있습니다. 많..

국내외 보안동향 2020. 5. 25. 14:00

Hackers leak credit card info from Costa Rica's state bank Maze 랜섬웨어 운영자들이 코스타리카 은행 (BCR, Bank of Costa Rica)에서 훔친 신용카드 데이터를 공개했습니다. 이들은 매주 파일을 유출하겠다고 협박해 왔습니다. 이 해커들은 과거 코스타리카 은행을 해킹했다고 주장했었습니다. 해당 은행은 침입 사실을 부인했으며, 해커는 그들의 주장을 증명하기 위해 이같이 정보를 공개한 것으로 보입니다. 유출된 정보 중 유효한 번호도 발견돼 Maze 운영자들은 그들의 “유출” 사이트를 통해 코스타리카 은행 고객의 지불 카드 번호가 담긴 2GB 상당의 스프레드시트를 공개했습니다. 공격자들은 수익을 내기 위해 이 데이터를 활용하지 않을 것이기 때문에 공..

국내외 보안동향 2020. 5. 25. 09:12