Thousands of enterprise systems infected by new Blue Mockingbird malware gang 엔터프라이즈 시스템 수천 곳이 Blue Mockingbird 해킹 그룹의 가상화폐 채굴 악성코드에 감염된 것으로 보입니다. Red Canary의 악성코드 분석가가 이달 초 발견한 Blue Mockingbird 그룹은 2019년 12월부터 활동을 시작한 것으로 추측됩니다. 연구원들은 Blue Mockingbird가 ASP.NET 앱을 사용하며 UI 컴포넌트로 Teleric 프레임워크를 사용하는 인터넷에 공개된 서버를 공격한다고 밝혔습니다. 해커들은 CVE-2019-18935 취약점을 악용하여 해킹한 서버에서 웹 셸을 설치합니다. 이후 Juicy Potato 기술을 통해..

국내외 보안동향 2020. 5. 26. 09:59

안녕하세요. 이스트시큐리티 대응센터(ESRC)입니다. 5/25 오전부터 공정거래위원회를 사칭하여 '전자상거래 위반행위 조사통지서'라는 타이틀로 공공기관 및 공공기관 관련 기업들에게 다수의 랜섬웨어 이메일이 유포되고 있어 주의가 필요합니다. 비너스락커 조직의 소행으로 추정되는 이번 랜섬웨어 이메일 공격은 마치 공정거래위원회 사무관이 관련 기관 및 기업에 보낸 메일처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함되어 있습니다. [그림 1] 공정거래위원회 사칭 랜섬웨어 이메일 본문 메일 첨부파일은 이중압축되어 있으며, 사용자가 해당 메일에 첨부된 압축파일 내에 존재하는 문서로 위장된 악성코드를 실행하게 되면 Makop 랜섬웨어 변종에 감염됩니다. 특히, 해..

악성코드 분석 리포트 2020. 5. 25. 17:21

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다. "Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다. 유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. [그림 1] 악성 메일 본문 첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다. [그림 2] 사용자의 클릭..

악성코드 분석 리포트 2020. 5. 25. 16:26

Ransomware encrypts from virtual machines to evade antivirus Ragnar Locker 랜섬웨어가 피해자의 파일을 암호화하기 위해 윈도우 XP 가상 머신에 배치되어 호스트에 설치된 보안 소프트웨어의 탐지를 우회하고 있는 것으로 나타났습니다. Ragnar Locker는 2019년 12월 말 활동을 시작한 비교적 새로운 랜섬웨어로 주로 기업 네트워크를 노립니다. 이 랜섬웨어는 에너지 대기업인 EDP(Energias de Portugal)를 공격하여 암호화되지 않은 파일 10TB를 훔쳤다고 주장하며 랜섬머니로 1090만 달러를 요구한 것으로 유명합니다. Ragnar Locker는 네트워크에 배포될 때 탐지를 회피하기 위한 새로운 방법을 사용한 전적이 있습니다. 많..

국내외 보안동향 2020. 5. 25. 14:00

Hackers leak credit card info from Costa Rica's state bank Maze 랜섬웨어 운영자들이 코스타리카 은행 (BCR, Bank of Costa Rica)에서 훔친 신용카드 데이터를 공개했습니다. 이들은 매주 파일을 유출하겠다고 협박해 왔습니다. 이 해커들은 과거 코스타리카 은행을 해킹했다고 주장했었습니다. 해당 은행은 침입 사실을 부인했으며, 해커는 그들의 주장을 증명하기 위해 이같이 정보를 공개한 것으로 보입니다. 유출된 정보 중 유효한 번호도 발견돼 Maze 운영자들은 그들의 “유출” 사이트를 통해 코스타리카 은행 고객의 지불 카드 번호가 담긴 2GB 상당의 스프레드시트를 공개했습니다. 공격자들은 수익을 내기 위해 이 데이터를 활용하지 않을 것이기 때문에 공..

국내외 보안동향 2020. 5. 25. 09:12

New 'Spectra' attack breaks the separation between Wi-Fi and Bluetooth 독일과 이탈리아 연구진은 노트북, 스마트폰, 태블릿 등의 동일한 기기에서 실행되는 Wi-Fi와 블루투스 기술 간의 경계를 허무는 새로운 공격을 개발했다고 밝혔습니다. "Spectra"라는 이름의 이 공격은 Wi-Fi, 블루투스, LTE 등의 전파 기반 무선 통신을 처리하는 특수 칩인 "콤보칩"에서 동작합니다. 연구팀에 따르면, 새로운 취약점 공격 "Spectra"는 데이터 전송이 동일 스펙트럼에서 발생하는 점을 이용하며, 이때 무선 칩은 채널 액세스를 중재해야 합니다. 또한 칩셋 벤더가 제품에 포함시킨 공존 메커니즘을 공격에 활용했습니다. 콤보칩은 이러한 메커니즘을 이용해 빠른 ..

국내외 보안동향 2020. 5. 22. 17:00

Adobe fixed several memory corruption issues in some of its products Adobe가 Adobe Character Animator 제품에 존재하는 원격 코드 실행 취약점(CVE-2020-9586)을 해결하는 패치를 공개했습니다. 지난 화요일, Adobe는 보안 권고를 통해 RCE 공격을 발생시키는 스택 기반의 버퍼 오버플로우 취약점에 대해 고객들에게 경고했습니다. Windows 및 macOS 기기에서 실행되는 Adobe Character Animator 3.2 및 이전 버전은 CVSS 스코어 7.8을 기록한 해당 취약점의 영향을 받습니다. 아직 해당 보안 취약점이 실제 공격에 악용된 정황은 확인되지 않았습니다. 그러나 공격자는 사용자로 하여금 조작된 악성..

국내외 보안동향 2020. 5. 22. 15:57

[5월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1[Web발신] 택배배송지주소확인바랍니다 . [ㅇㅇ통운]2[Web발신][ㅇㅇ택 배] ㅇㅇㅇ 주문 상품 전송 불가 고객 정보 부정확 수정 3[Web발신][ㅇㅇ택배] ㅇㅇㅇ 입력하신 주소정보가 올바르지 않습니다. 주소/정정4송장번호 [655******7] 미확인입니다 반송처리 하오니 주소 확인 5[ㅇㅇ저축은행 - 정부지원 대환대출 간편대출신청]고객명 : ㅇㅇㅇ고유번호 : L984325본인인증PIN : 220.142.175.227:30담당자 : 김희재 ① 상단의 본인인증PIN 옆에 ..

안전한 PC&모바일 세상/스미싱 알림 2020. 5. 22. 15:30