Large scale Snake Ransomware campaign targets healthcare, more Snake 랜섬웨어 운영자들이 전 세계적인 사이버 공격 캠페인을 통해 지난 몇 주 동안 수많은 기업과 의료기관을 공격한 것으로 나타났습니다. 지난 1월, 새로운 Snake 랜섬웨어가 기업 네트워크를 노린다는 소식 이후로 별다른 소식이 없었으며, 실제 공격이 거의 발생하지 않았습니다. 하지만 이 랜섬웨어의 운영자들은 5월 4일부터 전 세계의 조직을 노리는 대규모 캠페인을 실행했습니다. 랜섬웨어 식별 사이트인 ID 랜섬웨어(ID Ransomware)에는 5월 4일부터 Snake 랜섬웨어 등록 건수가 크게 증가했습니다. 보안 기자인 Brian Krebs에 따르면, 유럽 최대 규모 의료 서비스 제공 ..

국내외 보안동향 2020. 5. 7. 09:06

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 5월 연휴기간 동안 불특정 다수 사용자를 대상으로 hoax 메일이 유포되었습니다. 해당 메일 발신자는 현재까지 확인된 내용으로는 모두 다르며, 특정 국내기업 메일주소로 위장하기도 하였습니다. 메일 제목은 '높은 수준의 위험. 귀하의 계정이 해킹되었습니다. 비밀번호를 변경하십시오.'라고 작성되어 있습니다. [그림 1] 불특정 다수에게 유포된 hoax 메일 본문 hoax 메일에 작성된 내용은 최근 몇년동안 주로 사용되었던 내용과 동일합니다. 사용자가 성인 사이트를 방문하고 성인 동영상을 보려고 할 때, 수신자의 단말에 악성코드를 감염시켜 PC에 내장된 카메라로 남들에게 알리고 싶지 않은 사생활을 촬영했다 등의 내용들이 작성되어 있습니다. 또한 동영상..

악성코드 분석 리포트 2020. 5. 6. 17:34

New VCrypt Ransomware locks files in password-protected 7ZIPs 새로운 랜섬웨어인 VCrypt가 프랑스 피해자들을 노리고 있는 것으로 나타났습니다. 이 랜섬웨어는 합법적인 7zip 명령 프로그램을 통해 데이터 폴더의 패스워드 보호 압축파일을 생성하여 파일을 암호화합니다. 이 새로운 랜섬웨어는 윈도우 폴더에서 발견된 피해자의 파일을 모두 삭제하고, 해당 폴더명을 딴 새로운 암호화된 파일을 생성합니다. 이 암호화된 파일의 이름은 계정명_폴더명.vcrypt와 같은 형태로 생성됩니다. 예를 들어, 아래 이미지와 같이 Documents 폴더 내 파일이 삭제된 후 User_documents.vcrypt 파일이 생성됩니다. 랜섬웨어가 시작되면 이 악성코드는 인터넷 익스플..

국내외 보안동향 2020. 5. 6. 14:30

LockBit ransomware self-spreads to quickly encrypt 225 systems LockBit 랜섬웨어가 단 몇 시간 만에 기업 네트워크를 해킹하고 수 백대 기기에 랜섬웨어를 배포한 것으로 나타났습니다. 2019년 9월 시작된 LockBit은 비교적 새로운 서비스형 랜섬웨어(RaaS)입니다. 개발자는 지불 사이트와 악성코드 개발을 담당하고, 협력자들은 이 서비스에 가입해 랜섬웨어를 배포합니다. 이 서비스를 통해 LockBit 개발자는 랜섬머니의 약 25~40%를, 배포를 맡은 협력자는 60~75%를 가져갑니다. 단 3시간 만에 기업 네트워크 암호화해 이 사건 대응을 담당한 McAfee Labs와 Northwave는 공동으로 보고서를 발표했습니다. 보고서에는 LockBit ..

국내외 보안동향 2020. 5. 6. 08:53

New Android Malware Steals Banking Passwords, Private Data and Keystrokes 안드로이드의 접근성 기능을 악용하여 금융 관련 애플리케이션에서 민감 정보를 추출하고, 사용자의 SMS 메시지를 읽고, SMS 기반 이중 인증 코드를 하이잭하는 새로운 모바일 뱅킹 악성코드가 발견되었습니다. Cybereason 연구원들이 “EventBot”이라 명명한 이 악성코드는 뱅킹, 송금 서비스와 Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, Coinbase 등과 같은 가상 화폐 지갑을 포함한 금융 앱 200개를 노리고 있었습니다. 이 새로운 악성코드는 지속적으로 개선되고 있으..

국내외 보안동향 2020. 5. 4. 16:00

CVE-2020-1631: J-Web and Web-based (HTTP/HTTPS) Services Vulnerability Alert 최근 Juniper는 Juniper Networks Junos OS(CVE-2020-1631)의 J-Web 및 Web 기반(HTTP/HTTPS) 서비스의 취약점을 고치기 위한 security bulletin을 공식 발표했습니다. J-Web, Web Authentication, DVPN(Dynamic-VPN), Web-Redirect를 사용한 Firewall Authentication Pass-Through, ZTP(Zero Touch Provisioning)가 사용하는 HTTP/HTTPS 서비스의 취약점은 인증되지 않은 공격자가 LFI(local file inclusi..

국내외 보안동향 2020. 5. 4. 14:30

Critical SaltStack RCE Bug (CVSS Score 10) Affects Thousands of Data Centers 오픈소스 SaltStack Sat 구성 프레임워크에서 치명적인 보안 취약점 2개가 발견되었습니다. 공격자가 이 취약점을 악용할 경우 데이터 센터와 클라우드 환경에 설치된 원격 서버에서 임의 코드를 실행할 수 있는 것으로 나타났습니다. F-Secure 연구원들은 지난 3월 초 이 취약점을 발견하였으나, SaltStack 연구원들이 이 문제를 해결하는 패치(버전 3000.2)를 공개한 후 하루 뒤인 4월 30일에야 이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 CVE-2020-11651, CVE-2020-11652로 등록되었으며, CVSS 점수 10을 기록했습니다..

국내외 보안동향 2020. 5. 4. 10:14

안녕하세요, ESRC(이스트시큐리티 대응센터)입니다. 최근 PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 PDF 첨부파일은 “NAVER.pdf” 파일명을 사용하고 있으며, 파일을 실행하면 아래와 같이 계정 업그레이드 문제로 사용자들이 링크를 클릭할 수 있도록 유도하고 있습니다. [그림 1] 국내 포털 사이트 PDF 파일 실행 화면 PDF 파일을 실행 한 사용자가 계정 업그레이드 문제를 해결하기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩..

악성코드 분석 리포트 2020. 4. 29. 15:43