WolfRAT malware targets WhatsApp, Messenger 새로운 악성코드인 “WolfRAT”이 태국 안드로이드 기기에 설치된 왓츠앱, 페이스북 메신저, 라인을 노리는 것으로 나타났습니다. Cisco Talos 인텔리전스 팀에 따르면, WolfRAT은 최근 유출된 DenDroid 악성코드 패밀리를 기반으로 합니다. 또한 이 수정된 악성코드 버전이 예전 “Wolf Research” 이름으로 활동했으나 “LokD”로 이름을 변경한 공격자의 소행일 것으로 추측했습니다. 지난 3월, PC Risk는 LokD가 피해자 파일을 암호화하고, 이름을 변경하고 랜섬노트를 생성하는 Djvu 랜섬웨어 패밀리에 속한다고 보도했습니다. LokD는 암호화된 파일명에 “.lokd” 확장자를 붙이는 것이 특징입니..

국내외 보안동향 2020. 5. 20. 14:30

EasyJet hacked: data breach affects 9 million customers 영국 최대 항공사인 EasyJet이 해킹 사실을 공개하며 9백만 고객의 이메일 주소와 여행 정보가 유출되었다고 밝혔습니다. 공격자는 일부 고객의 신용 카드 정보에까지 접근할 수 있었던 것으로 나타났습니다. EasyJet은 금일 데이터 유출 공지를 통해 사이버 공격을 받았으며, 제3자가 무단으로 시스템에 접근할 수 있었다고 밝혔습니다. 공격자는 이 공격을 통해 9백만 고객의 이메일 주소와 여행 정보에 접근할 수 있었습니다. 약 2,208명의 신용카드 정보 또한 노출되었습니다. 조사에 따르면, 공격자는 약 9백만 고객의 이메일 주소와 여행 정보에 접근했습니다. 영향을 받은 고객은 며칠 내 연락을 받을 것이며,..

국내외 보안동향 2020. 5. 20. 08:32

Edison Mail iOS Bug Exposes Emails to Strangers Edison Mail 앱의 iOS 소프트웨어 업데이트 과정에서 발생한 취약점으로 인해 제3자에게 이메일이 노출되는 것으로 확인되었습니다. 유명 서드파티 이메일 애플리케이션 Edison Mail은 iOS 취약점 익스플로잇을 통해 수천 명의 iOS 사용자의 이메일을 노출시킬 수 있다고 경고했습니다. Edison Software Inc. 기업의 Edison Mail은 애플 앱스토어의 100대 생산성 앱에 속하며 "빠르고 안전한 메일"로 유명합니다. Edison Mail에 따르면 최근 iOS 업데이트로 인해 앱에서 일시적인 버그가 발생했습니다. 해당 버그로 인해 6,480 명의 iOS Edison Mail 사용자가 다른 사용자..

국내외 보안동향 2020. 5. 19. 16:04

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 문서를 스캔한 이미지를 클릭할 때, 계정 탈취 로그인 페이지로 이동되는 피싱 공격이 다수 발견되어 사용자들의 주의가 필요합니다. ESRC에서는 동일한 공격 방법을 사용하는 3개의 피싱 메일을 확인하였으며, 메일 제목이 “스캔 파일”인 메일로 분석한 내용을 설명하고자 합니다. [표 1] 스캔한 문서 이미지 클릭 시 다음 로그인 페이지로 이동되는 피싱 메일 이번에 발견된 메일은 문서를 스캔한 이미지를 작게 보여주고 사용자의 클릭을 유도하며, 이미지를 클릭하면 아래의 피싱 사이트로 이동하게 됩니다. [그림 1] 첨부파일로 보이는 이미지 [그림 2] 첨부파일로 보이는 이미지 [그림 3] 첨부파일로 보이는 이미지 또한 피싱 메일에는 HTML 파일이 ..

악성코드 분석 리포트 2020. 5. 19. 14:46

Netwalker ransomware actors go fileless to make attacks untraceable 공격자들이 흔적을 남기지 않고 피해자를 Netwalker 랜섬웨어에 감염 시키기 위해 파일리스 악성코드 기술인 반사 DLL 인젝션(Reflected DLL injection)을 사용해온 것으로 나타났습니다. DLL 인젝션(DLL injection) 이란? 다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술로 공격자는 임의적인 코드를 삽입하여 시스템 함수 후출을 후킹하거나 보통 방식으로 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 있다. 반사 DLL 인젝션(Reflected DLL injection) 이란?DLL 인젝션(DLL injectio..

국내외 보안동향 2020. 5. 19. 14:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 4월 초부터 5월 중순까지 꾸준히 Nemty 랜섬웨어 시리즈를 유포중인 비너스락커 조직의 공격이 여전히 지속되고 있습니다. 4월 초에 '공정거래위원회'를 사칭하거나 혹은 '이력서'로 위장하여 Nemty 3.1 랜섬웨어를 유포했던 공격자는 5월 초부터는 '이미지 무단사용 경고' 키워드를 활용하거나 4월 초와 유사하게 '이력서'를 사칭한 Nemty Special Edition 랜섬웨어를 유포했습니다. 특히 공격자는 5월 초에는 Nemty 랜섬웨어를 유포하는 동시에 정보탈취 악성코드까지 유포를 시도했습니다. 5월 18일에도 또 다시 '이력서'를 사칭하여 지난 5월 중순과 동일하게 Nemty Special Edition을 유포중인 것이 확인되어 주의가 ..

악성코드 분석 리포트 2020. 5. 19. 13:07

FBI warns of ProLock ransomware decryptor not working properly 많은 랜섬웨어가 코로나바이러스 팬데믹 상황을 엄청나게 바빠진 의료 부문을 공격할 완벽한 기회로 삼고 있습니다. 그리고 ProLock 또한 이 대열에 합류했습니다. FBI는 이달 초 미국의 의료 기관, 정부, 금융 기관, 소매업 등을 노리는 새로운 공격 조직에 대한 경고를 발행했습니다. 제대로 작동하지 않는 복호화 툴 FBI는 랜섬웨어 공격자의 요구에 응하지 말 것을 권장합니다. 그들의 요구에 응할 경우, 더 많은 공격을 실행하도록 북돋아주는 꼴이 되기 때문입니다. ProLock의 복호화 툴이 제대로 동작하지 않아 복호화 툴 사용 시, 데이터가 손실되는 것으로 나타났습니다. 64MB보다 큰 파일..

국내외 보안동향 2020. 5. 19. 09:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 N번 방 동영상 이슈를 활용한 스미싱을 통해서 유포되었습니다. 동영상 이슈를 활용하는 만큼 ‘Nplayer’라는 앱 명을 사용합니다. 특히, 처음 실행 시 특정 성인 사이트를 로드하여 팝업함으로써 사용자를 속임과 동시에 기기 및 문자 정보를 탈취합니다. [그림] 앱 특징 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 탐지 명으로 진단..

악성코드 분석 리포트 2020. 5. 19. 09:00