China-based Bronze President APT targets South and East Asia Secureworks CTU의 연구원들은 Bronze President APT 그룹이 실행하는 사이버 간첩 캠페인을 발견했습니다. 중국에 기반을 둔 이 그룹은 최소 2014년 말부터 활동한 것으로 추정되며, 아시아 내 정치조직과 법 집행기관, NGO를 타깃으로 합니다. 이들은 타깃 네트워크를 해킹하기 위해 맞춤형 원격 접속 툴과 공개적으로 얻을 수 있는 원격 접속 및 해킹 툴을 사용했습니다. 일단 네트워크 해킹에 성공하면, 공격자들은 그들의 권한을 상승시키고 시스템에 악성코드를 유포합니다. 이후 특정 파일 유형을 수집하고 탐지를 최소화하기 위한 커스텀 배치 스크립트를 실행합니다. 공격자들은 공개적..

국내외 보안동향 2020. 1. 8. 11:38

안녕하세요. 이스트시큐리티 ESRC 입니다. 최근 Apple iPhone 분실 관련 메시지가 iMessage를 이용하여 유포되고 있는 정황이 포착되었습니다. 수신된 iMessage 내용은 아래와 같습니다. [그림 1] iMessage로 발송된 스미싱 메시지 (출처 : 네이버 지식인) ※ 스미싱 상세내용 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 아이폰 찾았습니다. 아래의 주소 https://www.apple.com-sr.kr 연결하여 상세한 위치를 확인하고 기기를 활성화하십시오. 고객님의 아이폰 찾기에 협조해드리겠습니다.Apple 지원팀 Apple 고객센터고객님 안녕하세요. 고객님께서 분실하신 iPhone XS Max를 찾았습니다. 고객님께서 https://www.apple.com-sr.k..

악성코드 분석 리포트 2020. 1. 8. 10:29

VPN warning: REvil ransomware targets unpatched Pulse Secure VPN servers REvil(Sodinokibi) 랜섬웨어 운영자들이 대규모 조직을 협박하기 위한 발판을 마련하고, 안티바이러스를 비활성화하기 위해 패치되지 않은 Pulse Secure VPN 서버를 공격하기 시작했습니다. 한 보안 연구원은 Pulse Secure VPN을 사용하는 조직들에 ‘Big Game’ 랜섬웨어 공격에 피해를 입고 싶지 않다면 당장 패치를 적용해야 한다고 경고했습니다. 공격자들은 Shodan.io IoT 검색 엔진을 통해 취약한 VPN 서버를 쉽게 찾아낼 수 있는 것으로 나타났습니다. 영국의 보안 연구원인 Kevin Beaumont는 REvil 랜섬웨어를 ‘Big gam..

국내외 보안동향 2020. 1. 7. 09:44

DeathRansom evolves from joke to actual ransomware 사이버 보안 업체인 Fortinet이 장난일 뿐이었던 DeathRansom이 견고한 암호화 체계를 통해 실제로 파일을 암호화하고 있다고 발표했습니다. 이 랜섬웨어는 탄탄한 배포 캠페인을 통해 지난 2달 동안 매일 피해자를 발생시켰습니다. 첫 DeathRansom 감염은 2019년 11월 발생했습니다. 이 랜섬웨어의 초기 버전은 그저 농담으로 여겨졌습니다. 당시 DeathRansom은 사용자의 파일을 전혀 암호화하지 않았으며 랜섬웨어 흉내만 냈었습니다. 첫 번째 버전은 모든 사용자 파일에 확장자를 추가하고 시스템에 사용자에게 돈을 요구하는 랜섬노트를 드롭했습니다. 이 모든 작업은 실제로 사용자의 파일을 암호화하지 않..

국내외 보안동향 2020. 1. 6. 09:28

[ZDNet] China's TikTok banned by US Army amid security concerns: Report Military.com이 미 육군이 보안에 대한 우려로 인기있는 중국의 소셜 미디어 영상 앱인 틱톡(TikTok) 사용을 금지시켰다고 보도했습니다. 미 육군의 대변인은 “이는 사이버적 위협으로 간주됩니다. 이 앱을 정부가 사용하는 전화기기에 설치하는 것을 허용하지 않습니다.” 민주당 상원 의원인 Charles Schumer와 공화당 상원 의원인 Tom Cotton이 미 정보국장인 Joseph Maguire에게 틱톡이 국가 안보에 위협을 가할 수 있는지에 대한 조사를 해야한다고 주장한 이후로 이 앱이 금지된 것으로 나타났습니다. “정보기관에 틱톡과 다른 중국 기반 컨텐츠 플랫폼이..

국내외 보안동향 2020. 1. 3. 15:26

[1월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][한*진-택*배]고객님 01/02 주문 주소가 존재하지 않음,고객다시확인2 중요공지사항:3 CJ대한통운택배사칭4 [배송 센터]{{이름}} 주소 정보가 맞지 않아 변경 후 상품 배송 출처 : 알약M기간 : 2019년 12월 30일 ~ 2020년 1월 3일

안전한 PC&모바일 세상/스미싱 알림 2020. 1. 3. 10:58

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공정거래위원회를 사칭하여 유포중인 피싱 메일에 대해 주의가 필요합니다. 현재 유포중인 메일은 '전자상거래 위반행위 조사통지서'라는 제목을 갖고있으며, 공정거래 위원회가 발송한것처럼 위장하고 있습니다. 해당 메일은 1월 1일 오전에 발송되었으며, 사무관, 과장 등의 직함을 사용하여 실제 공무원인것처럼 사칭하였습니다. [그림1] 공정거래위원회를 사칭한 악성 메일 공정거래위원회를 사칭한 악성 메일은 새로운 것은 아닙니다. 2018년부터 등장한 공정거래위원회 사칭 악성메일은 2019년도에도 꾸준히 등장하였음, 이스트시큐리티 블로그에서도 '공정거래위원회 사칭 메일'에 대해 꾸준히 다뤄왔습니다. ※ 공정거래위원회를 사칭한 악성 이메일 ▶ Nemty 랜섬웨..

악성코드 분석 리포트 2020. 1. 3. 08:23

Chrome extension caught stealing crypto-wallet private keys 한 구글 크롬 확장 프로그램이 웹 페이지에 가상 화폐 지갑 및 가상 화폐 포털의 패스워드와 개인 키를 훔치는 자바 스크립트 코드를 인젝션한 것으로 나타났습니다. 이 확장 프로그램의 이름은 Shitcoin Wallet(Chrome extension ID: ckkgmccefffnbbalkmbbgebbojjogffn)이며 12월 9일 등록되었습니다. 블로그 게시물에 따르면, Shitcoin Wallet은 ETH 코인뿐만 아니라 일반적으로 초기 코인 제공(ICO)을 위해 발행되는 이더리움 ERC20 기반 토큰을 관리할 수 있습니다. 사용자는 이 크롬 확장 프로그램을 설치하여 브라우저를 통해 ETH 코인 및..

국내외 보안동향 2020. 1. 2. 08:15