안녕하세요?ESRC(시큐리티대응센터)입니다. 지난 3월초 대량으로 이력서를 사칭하여 유포되었던 Makop 랜섬웨어 이메일이 4월초부터 다시금 유포가 이뤄지고 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (20.03.06)▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중! (20.03.04) 이번에 발견된 이력서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 문장을 작성시 마침표를 생략하며 이중압축을 하는 등의 특징을 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. [그림 1] 지원서 사칭 랜섬웨어 악성 이메일 이력서를 사칭하는 메일 특성상 꾸준히 첨부파일에 포함된 문서위장 파..

악성코드 분석 리포트 2020. 4. 13. 16:43

VMWare releases fix for critical vCenter Server vulnerability VMware가 vCenter 서버 가상 인프라 관리 플랫폼에 존재하는 치명적인 취약점을 수정하는 보안 업데이트를 공개했습니다. 공격자가 이를 악용할 경우 민감 정보에 접근하고 가상 어플라이언스 또는 윈도우 시스템을 제어할 수 있었습니다. IT 관리자는 vCenter Server를 통해 기업 환경 내 가상화 호스트 및 가상 머신을 단일 콘솔을 통해 중앙 집중식으로 관리할 수 있습니다. “vCenter Server를 통해 가상 환경을 더욱 쉽게 관리할 수 있습니다. 관리자 한 명이 워크로드 수백 개를 관리하여 물리 인프라를 관리하는 것 보다 생산성을 두 배 이상 높일 수 있습니다.” 미국의 사이버 ..

국내외 보안동향 2020. 4. 13. 13:41

Thousands Zoom credentials available on a Dark Web forum 연구원들이 다크웹의 언더그라운드 포럼에서 해킹된 Zoom 크리덴셜 2,300개 이상이 포함된 데이터베이스를 발견했습니다. 일부 기록에는 미팅 ID, 이름 및 호스트 키 또한 포함되어 있었습니다. 이 아카이브는 뱅킹, 컨설팅, 의료 소프트웨어 등 다양한 분야 조직의 Zoom 계정 크리덴셜을 포함하고 있었습니다. “intSights 연구원들은 최근 딥웹과 다크웹 포럼 조사 중 한 사이버 범죄자가 Zoom 계정 및 패스워드 조합 2,300개 이상이 포함된 데이터베이스를 공개한 것을 발견했습니다.” “이 데이터베이스를 분석한 결과 개인 계정 뿐만 아니라 은행, 컨설팅 회사, 교육 기관, 의료 기관, 소프트웨어 ..

국내외 보안동향 2020. 4. 13. 09:12

Over 3.6M users installed iOS fleeceware from Apple’s App Store Sophos의 연구원들은 플리스웨어 앱 개발자들이 이제는 애플의 앱스토어에서 활동을 시작해, 이미 iPhone과 iPad 기기 350만대에 플리스웨어를 설치했다고 밝혔습니다. Sophos 연구원들이 지난 해 ‘플리스웨어’로 분류한 앱은 악성코드 및 PUA(potentially unwanted app) 카테고리에 속하지는 않습니다. 어떠한 악성 활동이나 잠재적으로 위험한 행동을 하지 않기 때문입니다. 하지만 이 앱의 개발자들은 사용자를 속여 다른 앱을 통해 무료나 단 몇 달러만으로 이용 가능한 기능에 대해 수백 달러를 청구합니다. 안드로이드 사용자 수백만 명 사기 당해 Sophos는 작년 구글..

국내외 보안동향 2020. 4. 10. 15:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 “알 수 없는 기기를 사용하여 로그인”이라는 제목으로 비정상적인 로그인이 발생하였기 때문에 본문에 기재된 링크를 통해 확인하라는 클릭 유도형 방식을 사용하였습니다. [그림 1] 애플 사용자 피싱 공격에 사용된 이메일 피싱 메일을 받은 사용자가 로그인 정보를 확인하기 위해 본문에 기재된 링크를 클릭할 경우 허위 로그인 정보를 포함한 PDF가 다운로드 되고 바로 사용자에게 보여집니다. [그림 2] 허위 로그인 정보가 담긴 PDF파일 화면 사용자가 본인의 계정을 보호하기 위해 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게..

악성코드 분석 리포트 2020. 4. 10. 13:24

[4월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] [긴급재난자금] 상품권이 도착했읍니다.확인해주세요. 2 배달물예상배송일:04월09일(목요일)입니다.주소확인부탁드립니다3 [Web발신][CVS 편의점 배송] 고객 4/9 상품 배송 갱신 주소 4 저희 결혼합니다. [Web발신] 사랑하며 사는 것이 생각하며 사는 것보다 더 큰 삶의 의미를 지니리라는, 이 시구의 의미를 사랑으로 저희를 맺어주신 하느님의 축복속에서 늘 기억하며 살아가겠습니다. 이 약속의 첫 걸음을 곁에서 지켜봐 주신다면, 저희 두사람에겐 더 없는 기..

안전한 PC&모바일 세상/스미싱 알림 2020. 4. 10. 10:49

US Senate, German government tell staff not to use Zoom 미 상원 의회와 독일의 외무부가 직원들에게 Zoom 화상 회의 애플리케이션의 사용을 금지하도록 권고한 것으로 나타났습니다. Financial Times의 최근 보도에 따르면, Zoom 애플리케이션에 수 많은 보안 문제가 제기됨에 따라 미 상원 의회는 의원들 및 직원들에게 이 앱을 사용하지 말 것을 권고했습니다. CNN 기자인 Brian Fung에 따르면, 권고문에서는 상원 의원들에게 Zoom의 사용을 완전히 금지시키지는 않았지만 기업용 스카이프 등 다른 대안을 찾아보라고 전한 것으로 나타났습니다. 미 상원 의회는 Zoom 사용을 차단하지는 않았지만, 독일은 이러한 결정을 내리는데 전혀 문제가 없었던 것으로..

국내외 보안동향 2020. 4. 10. 09:46

안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다. 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다. 이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다. 이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다. 먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다. DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Ro..

악성코드 분석 리포트 2020. 4. 10. 09:06