'오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 03월 초, 일명 '금성121(Geumseong121)'로 명명된 국가차원의 APT(지능형지속위협) 그룹의 새로운 공격 정황이 포착되었습니다. 이들은 대한민국 사이버 공간을 주요 거점지로 삼아 다양한 스파이 활동을 수행하고 있으며, 주로 외교·통일·안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화하고 있습니다. ESRC에서는 알약(ALYac) 포함 다채널 위협 인텔리전스 센서를 통해 수집된 각종지표와 증거를 기반으로 이번 침해공격 실체를 분석하였습니다. 작년 11월 '금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 A..

악성코드 분석 리포트 2020. 3. 30. 16:33

Hackers Exploit Zero-Day Bugs in Draytek Devices to Target Enterprise Networks Netlab 보고서에 따르면, 최소 2개 이상의 해커그룹이 DrayTek의 두 개의 제로데이 원격 명령 인젝션 취약점(CVE-2020-8515)을 악용중이라고 밝혔습니다. 해당 취약점은 DrayTek Vigor 엔터프라이즈 스위치, 로드밸런서, 라우터 및 VPN 게이트웨이에 존재하며, 공격자는 해당 취약점을 악용하여 트래픽을 스니핑 할 수 있으며 백도어를 설치할 수 있습니다. 제로데이 공격은 작년 11월 말에서 12월 초 처음 시작되었으며, 수 천대의 최신 펌웨어가 설치되어 있지 않은 DrayTek 스위치, Vigor 2960, 3900, 300B 디바이스 등이 영..

국내외 보안동향 2020. 3. 30. 15:37

Phishing Attack Says You're Exposed to Coronavirus, Spreads Malware 지역 병원에서 보낸 이메일로 위장하여 코로나 바이러스에 노출 되어 테스트가 필요하다고 속이는 새로운 피싱 캠페인이 발견되었습니다. 공격자는 지역 병원의 이메일로 위장하여 수신자가 코로나 바이러스 확진 판정을 받은 직장 동료, 친구, 가족과 접촉했다고 속였습니다. 그 후 수신자에게 첨부된 EmergencyContact.xlsm 파일을 인쇄하여 가까운 응급 진료소로 가져가도록 지시합니다. 이메일의 내용은 아래와 같습니다. Dear XXX You recently came into contact with a colleague/friend/family member who has COVID-19..

국내외 보안동향 2020. 3. 30. 13:43

개요 코로나19로 인하여 생활의 많은 부분에서 변화가 생겼습니다. 대부분의 국민들은 코로나19 감염을 우려하여 사람이 밀집되는 지역이나 장소를 기피하게 되었으며 오프라인 쇼핑과 외식보다는 온라인 쇼핑과 배달(택배)을 이용하고 있습니다. 스미싱 공격 조직은 이 기회를 최대한 활용하기 위해서 택배 스미싱 공격을 활발하게 진행하고 있으며 탐지 회피를 위해 스미싱 택배 문구도 다변화하는 양상을 보이고 있습니다. 택배 스미싱은 비교적 널리 알려져 있어 쉽게 당하지 않을 것으로 생각하지만 의외로 피해를 입는 경우가 많습니다. 택배 스미싱 문구가 실제 택배 기사님들이나 회사에서 보내는 것으로 보이도록 작성되어 있으며 더러는 피해자의 이름이 명시되어 있는 경우도 있기 때문입니다. 그러나 택배 스미싱 문자를 주의 깊게 ..

악성코드 분석 리포트 2020. 3. 30. 10:35

Actively Exploited Windows Font Parsing Bugs Get Temporary Fix 마이크로소프트가 지원되는 모든 버전의 윈도우의 폰트 파싱 컴포넌트에 존재하는 치명적인 취약점 2개에 대한 패치를 준비하는 동안, 사용자는 악용을 예방할 수 있는 마이크로패치 형태로 제공되는 임시 패치를 적용할 수 있게 됐습니다. 이 두 결함은 마이크로소프트가 관리하는 어도비의 Type Manager 라이브러리에 영향을 미치며 어도비 Type 1 PostScript와 OpenType 폰트를 처리하는 ATMFD.DLL 폰트 드라이버에 존재합니다. 윈도우 10 이전 시스템에서 이를 악용할 경우 상승된 권한으로 원격 코드 실행이 가능해집니다. 마이크로소프트는 현재 여러 공격자들이 구 버전 OS를 노리..

국내외 보안동향 2020. 3. 30. 09:08

Watch Out: Android Apps in Google Play Store Capitalizing on Coronavirus Outbreak 공격자들이 대중의 코로나 바이러스에 대한 두려움을 활발히 악용하여 악성코드 공격, 피싱 캠페인, 사기 사이트 및 악성 추적 앱을 만들고 있습니다. 이제는 써드파티 안드로이드 앱 개발자들 또한 이 상황을 악용하기 시작하여 악성코드를 드롭하고, 금전을 탈취하고, 구글 스토어 순위를 높이기 위해 앱 이름, 설명, 패키지명에 코로나 바이러스 관련 키워드를 끼워 넣기 시작했습니다. BitDefender의 연구원들은 “발견된 앱들 중 가장 위험한 앱들은 랜섬웨어부터 SMS 전송 악성코드, 피해자의 개인 또는 금융 데이터를 훔치도록 설계된 스파이웨어를 포함하고 있었습니다...

국내외 보안동향 2020. 3. 27. 15:23

[3월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][한진택*배]김** KN94 마스크 예정성공 주소 알려줘.2 [Web발신][한진택배]백** 택배에 있는 거주지를 찾을 수 없습니다 변경요청3 [한진택*배]김** 상품 배송 불가(도로명 오류) 새로 고침4 KEB하나은행핸드폰인증서비스 5 당일 진행보고서 작성위해서 홈페이지 접속바랍니다. 본인인증 보안코드번호 hxxp://61.2**.***.*:**/ 클릭 - 하단 다운로드 클릭 다운로드 완료후 (다운로드가 완료 되었습니다. 클릭) - 다음 - 설치(보안설정 알 수..

안전한 PC&모바일 세상/스미싱 알림 2020. 3. 27. 10:43

Three More Ransomware Families Create Sites to Leak Stolen Data 랜섬웨어 패밀리 3개가 돈을 지불하지 않는 피해자로부터 훔친 파일을 공개하기 위한 사이트를 추가로 개설했습니다. Maze 랜섬웨어가 돈을 지불하지 않기로 결정한 피해자로부터 훔친 데이터를 게시할 목적으로 만든 “뉴스”사이트를 개설한 후로, Sodinokibi/REvil, Nemty, DoppelPaymer 등 다른 랜섬웨어들도 그 뒤를 따랐습니다. BleepingComputer는 지난 2일 동안 다른 랜섬웨어 패밀리 3개 또한 유출 사이트를 개설한 것을 발견했습니다. 많은 랜섬웨어 측이 유출 사이트를 지속적으로 공개함에 따라, 이제는 랜섬웨어 공격을 데이터 유출 사건으로 간주해야 할 것입니다..

국내외 보안동향 2020. 3. 26. 15:32