안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 호주의 물류회사와 스페인에 위치한 병원에 랜섬웨어 공격이 발생했습니다. 주로 기업 네트워크를 타깃으로 하는 이번 공격에 사용된 랜섬웨어는 Mailto 랜섬웨어의 변종으로 Netwalker 로도 알려져있습니다. 해외에서 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서 해당 공격자들이 랜섬웨어 설치를 위해 코로나19 이슈를 이용하여 피싱 이메일을 사용하고 있는 것으로 확인되었습니다. [그림] 랜섬노트 화면 해당 랜섬웨어는 기업을 타겟으로 하고, 최근에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용하는 랜섬웨어입니다. 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다...

악성코드 분석 리포트 2020. 4. 16. 17:00

Google removed 49 Chrome Extensions that were hijacking cryptocurrency wallets 구글이 크롬 브라우저 확장 프로그램 49개를 공식 웹 스토어에서 추가로 제거했습니다. 이들은 가상 화폐 지갑을 하이잭하고 민감 정보를 훔치는 코드를 포함하고 있었던 것으로 나타났습니다. 이 크롬 브라우저 확장 프로그램은 MyCrypto와 PhishFort 연구원들이 발견했으며, 러시아 해커가 참여한 것으로 추측됩니다. 일부 확장 프로그램은 사용자들을 속이기 위한 가짜 5성 리뷰가 등록되어 있었습니다. “브랜드와 가상 화폐 사용자들을 노리는 다양한 확장 프로그램이 발견되었습니다. 이 확장 프로그램의 기능은 모두 같지만, 타깃 사용자에 따라 브랜딩이 달라집니다. 악성 ..

국내외 보안동향 2020. 4. 16. 16:45

RagnarLocker ransomware hits EDP energy giant, asks for €10M 유럽의 전기에너지기업 EDP가 Ragnar Locker 랜섬웨어의 공격을 받았으며, 1580 비트코인을 랜섬머니로 요구당하는 것으로 밝혀졌습니다. 10TB의 데이터 탈취 이번 공격과정중에서 Ragnar Locker 랜섬웨어는 edp기업의 10TB 민감데이터를 탈취하였으며, EDP 기업이 랜섬머니를 지불하지 않으면 이렇게 탈취한 민감 정보들을 공개하겠다고 협박하였습니다. Ragnar Locker 랜섬웨어가 공개한 웹페이지에는 "우리는 이미 EDP 그룹 서버의 10TB의 기밀문서를 탈취하였다. 이를 증명하기 위해, 우리는 기업의 내부망에서 내려받은 파일들의 캡쳐화면을 공개한다. 이 게시물은 임시게시물..

국내외 보안동향 2020. 4. 16. 14:30

Microsoft Issues Patches for 4 Bugs Exploited as Zero-Day in the Wild 마이크로소프트가 2020년 4월 ‘패치 화요일’을 통해 지원되는 모든 윈도우 OS 버전과 기타 제품에서 새로운 보안 취약점 113개를 패치했습니다. 이 중 17건의 심각도는 ‘치명적’, 96건은 ‘중요함’으로 분류되었습니다. 현재 악용 중인 제로데이 4개 패치돼 심각한 점은 보안 취약점 중 2개는 현재 대중에 공개된 상태이며, 4개는 여러 해커들이 실제 공격에 활발히 악용하고 있다는 것입니다. 제로데이 상태로 악용된 공개된 취약점 중 하나는 윈도우가 사용하는 Adobe Font Manager 라이브러리에 존재합니다. 마이크로소프트는 지난 달 수백 만 사용자의 안전을 위해 이른 보안..

국내외 보안동향 2020. 4. 16. 08:31

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “앱 스토어에서 구매 증명 2020년 04월 13일”이라는 제목으로 사용자가 구매하지 않은 구매 영수증을 보냄으로써 구매 확인을 위해 애플 사이트에 로그인하도록 유도하는 클릭 유도형 방식을 사용하였습니다. [그림 1] 허위 구매 영수증을 이용한 피싱 공격 이메일 피싱 메일을 받은 사용자가 허위 구매영수증을 확인 후 구매확인을 위해 본문에 기재된 링크를 클릭 할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다. [그림 2] 이동 된 피싱 사이트 화면 사용자가 접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 ..

악성코드 분석 리포트 2020. 4. 15. 08:30

WebSphere Application Server는 IBM에서 개발한 고성능의 자바 애플리케이션 서버입니다. 이번에 발견된 CVE-2020-4276 및 CVE-2020-4362는 WebSphere SOAP Connector 서버 중 존재하는 원격코드실행 취약점으로, 해당 취약점을 악용하면 원격의 권한이 없는 공격자가 공격 서버에 임의코드실행을 통해 시스템 권한을 획득할 수 있습니다. 영향받는 버전 WebSphere Application Server 9.0.xWebSphere Application Server 8.5.xWebSphere Application Server 8.0.xWebSphere Application Server 7.0.x 패치방법 1) 자동 업데이트WebSphere Application..

국내외 보안동향 2020. 4. 14. 15:49

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 저금리 대출 문자메시지를 발송한 후 전화상담을 통한 사용자에게만 카카오톡 메시지를 보내어 악성 앱을 다운로드 받게 하는 최신 스미싱 공격이 등장하였습니다. [그림 1] 최신 스미싱 공격에 사용 된 문자 메시지 사용자가 받은 문자메시지에는 기존에 발견되었던 스미싱 메시지와는 다르게 악성 앱을 다운로드 할 수 있는 링크는 존재하지 않습니다. 해당 문자메시지를 받은 후 일정 시간이 지나면 전화상담이 이루어지고 상담이 완료된 사용자에게만 카카오톡 메시지를 통해 스미싱 메시지를 전달하게 됩니다. [그림 2] 카카오톡으로 전달 된 스미싱 메시지 화면 카카오톡으로 전달된 메시지에는 기존 은행에서 대출 신청 시 받는 메지시와 유사하게 꾸며져 있으며 대출 신청서 작성..

악성코드 분석 리포트 2020. 4. 14. 10:33

Sodinokibi Ransomware crew chooses Monero for ransom payments Sodinokibi 랜섬웨어 배후에 있는 공격자들이 랜섬머니로 비트코인 대신 모네로 가상화폐를 요구하고 있는 것으로 나타났습니다. 법 집행 기관의 조사를 더욱 어렵도록 만들기 위함인 것으로 보입니다. 이들은 더 이상 랜섬머니를 비트코인으로 받지 않을 예정입니다. 모네로를 지불하기 위해 Tor 익명 네트워크를 사용하면 자금의 흔적을 추적하고 익명 공격자의 신상을 밝혀내기가 불가능해집니다. 모네로 가상화폐 체계의 모든 거래는 CryptoNote 애플리케이션 계층 프로토콜과 이 프로토콜에 구현된 난독화로 인해 익명으로 이루어집니다. “더 이상 랜섬머니로 BTC를 받지 않음을 알려드립니다. 피해자와 파..

국내외 보안동향 2020. 4. 14. 09:22