안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 안드로이드의 웹 뷰 기능을 통해서 특정 성인 사이트를 로드합니다. 기기의 전화번호 정보를 수집하며 주소록, 통화목록, 문자 관련 개인 정보를 xml 파일로 저장하고 압축 후 C&C 서버로 탈취합니다. [그림] C&C로 탈취되는 정보 해당 악성 앱은 성인 앱으로 속이며 개인 및 기기와 관련된 다양한 정보를 탈취합니다. 따라서 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 악성 앱을 ..

악성코드 분석 리포트 2020. 1. 16. 09:00

More than 600 million users installed Android 'fleeceware' apps from the Play Store Sophos의 보안 연구원들이 안드로이드 사용자 6억명 이상이 다운로드 및 설치한 새로운 플리스웨어(fleeceware) 앱 다수를 발견했다고 밝혔습니다. 플리스웨어는 안드로이드 앱이 사용자에게 비용을 청구하기 전까지 체험 기간을 제공할 수 있다는 점을 악용합니다. 안드로이드 앱 체험 기간에 가입한 사용자는 비용이 청구되는 것을 막기 위해 수동으로 평가판 구독을 취소 해야합니다. 하지만 사용자 대부분은 앱이 마음에 들지 않을 경우 앱을 제거해 버립니다. 앱 개발자들 중 대부분은 사용자가 앱을 제거할 경우 구독을 취소하는 것으로 간주하고 요금을 청구하지 않습..

국내외 보안동향 2020. 1. 16. 08:43

Broadcom이 만든 모뎀칩에서 보안취약점이 발견되었습니다. 이 취약점은 Cable Haunt(CVE-2019-19494)라 명명되었습니다. 해당 취약점을 악용하면 공격자는 엔드포인트를 통해 원격에서 모뎀을 완전히 장악할 수 있으며, 개인정보탈취, 리디렉션 공격 등의 악성 공격을 할 수 있습니다. Cable Haunt(CVE-2019-19494)취약점은 칩의 스펙트럼분석기에 존재합니다. 대부분의 케이블 모뎀은 내부 네트워크의 연결 만 스펙트럼 분석기에 접근하도록 허용합니다.하지만 Broadcom의 스펙트럼 분석기에는 DNS 리바인딩 공격에 대한 보호 기능이 없으며, 동시에 기본 자격증명을 사용할 뿐만 아니라 프로그래밍 오류도 포함하고 있습니다. 이러한 이유들로 공격자들은 내부네트워크의 장치를 공격할 수..

국내외 보안동향 2020. 1. 15. 16:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 주문 리스트를 확인해달라는 내용의 메일로 ‘Trojan.PSW.AveMaria’(이하 ‘AveMaria’) 악성코드가 유포되고 있습니다. ‘AveMaria’는 메일에 첨부된 ‘New Order List.doc’ 악성 문서 파일에서 드롭되어 실행됩니다. [그림] 주문 리스트 확인 악성 메일 악성 문서 파일에서 실행되는 ‘AveMaria’는 명령 제어 기능을 수행합니다. C&C에서 공격자 명령에 따라 감염PC 정보 수집, 웹 브라우저 및 전자 메일 프로그램에 저장된 계정 정보 탈취, 키로깅 등의 다양한 악성 기능이 수행될 수 있어서 사용자들의 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.PSW.AveM..

악성코드 분석 리포트 2020. 1. 15. 14:00

Ryuk Ransomware Uses Wake-on-Lan To Encrypt Offline Devices Ryuk 랜섬웨어가 해킹된 네트워크에 연결된 전원이 꺼진 기기를 켜 암호화하기 위해 WOL(Wake-on-Lan)을 사용하는 것으로 나타났습니다. WOL은 특수 네트워크 패킷을 보내 전원이 꺼진 기기를 깨우거나 전원을 켤 수 있는 하드웨어 기능입니다. 이 기능은 전원이 꺼진 기기에 업데이트를 보내거나 예약 작업을 실행하기 위해 컴퓨터를 켜야하는 관리자들이 유용하게 사용합니다. SentinelLabs 대표인 Vitali Kremez의 최신 Ryuk 랜섬웨어 분석에 따르면, 이 악성코드가 실행될 때 '8 LAN' 인수를 가진 서브 프로세스를 생성하는 것으로 나타났습니다. 이 인수가 사용되면, Ryuk은..

국내외 보안동향 2020. 1. 15. 09:46

안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

안녕하세요 ESRC 입니다. 최근 통일외교안보특보 세미나 발표문서처럼 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자의 각별한 주의가 필요합니다. 이번 공격에 사용된 악성 DOC 문서는 지난 6일(현지시간) 미 워싱턴 DC 국익연구소의 2020년 대북 전망 세미나 관련 질의응답 내용 등을 담고 있습니다. 이스트시큐리티는 2019년 4월, 처음 한ㆍ미를 겨냥한 APT 공격을 발견하였고, 이 공격을 '스모크 스크린(Smoke Screen)'캠페인이라 명명하였습니다. 스모크 스크린(Smoke Screen) 캠페인 스피어피싱 방식으로 특정 공격타겟에게만 은밀히 악성 파일(.hwp 혹은 doc)이 첨부된 이메일을 발송한다.외형적으로 정치, 대북 관련 키워드..

악성코드 분석 리포트 2020. 1. 14. 08:26