Cryptocurrency-mining botnet uses a Taylor Swift image to hide malware payloads 가상 화폐 봇넷 운영자들이 악성 페이로드를 숨기기 위해 가수 테일러 스위프트의 이미지를 사용하고 있는 것으로 나타났습니다. 이 봇넷의 이름은 MyKingz이며 Smominru, DarkCloud, Hexmen으로도 알려져 있습니다. MyKingz 봇넷의 활동 기록 MyKingz는 2017년 말 처음으로 발견되었습니다. 당시 이 봇넷은 가장 규모가 큰 가상 화폐 관련 악성 프로그램이었습니다. MyKingz 공격자들은 주로 윈도우 시스템을 공격해 다양한 가상 화폐 마이닝 애플리케이션을 배포했습니다. 이를 통해 감염시킨 기기의 리소스를 활용하여 수익을 발생시켰습니다. ..

국내외 보안동향 2019. 12. 20. 13:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다. 해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다. [그림] 하드 코딩 된 26개국어 스트링 향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 ..

악성코드 분석 리포트 2019. 12. 20. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 현재 하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림1] KEB하나은행 보안메일을 위장한 악성 메일 해당 메일은 KEB 하나은행의 보안메일을 위장하고 있으며, html 파일이 첨부되어 있습니다. [그림2] 하나은행 보안메일 위장 html 사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 내려옵니다. [그림3] 하나은행 보안메일 위장 html에 패스워드 입력 시 엑셀 다운로드 이렇게 다운로드 된 엑셀파일 안에는 악성 메크로가 포함되어 있습니다. [그림4] 악성 매크로가 포함된 엑셀파일 만약 ..

악성코드 분석 리포트 2019. 12. 20. 10:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 일본 내에서 ‘이모텟(Emotet)’ 악성코드가 기승을 부리고 있습니다. 특징으로는 이모텟에서 ‘트릭봇(TrickBot)’ 악성코드까지 연계되어 공격이 이어지고 있습니다. 현재 일본뿐만 아니라 국내에서도 공격이 활발하게 이루어지고 있어 사용자들의 주의가 필요합니다. [그림] 'Eternal Romance' 취약점 코드 일부 이 악성코드는 이메일로 국내외 많은 기업에 유포되고 있습니다. 감염 시, 공격자가 업로드하는 추가 악성코드를 다운로드하며 사용자로부터 감염 사실을 숨기기 위해 시스템 프로세스로 위장합니다. 추가로 수행되는 악성 행위로는 뱅킹 정보 탈취, 브라우저를 통한 로그인 정보 탈취, 네트워크 정보 등이 있으며 SMB취약점인 ..

악성코드 분석 리포트 2019. 12. 19. 13:00

Industrial Cyber-Espionage Campaign Targets Hundreds of Companies 수백 곳의 제조업체가 APT 공격의 타깃이 되고 있습니다. 공격자는 오래된 인포스틸러의 새로운 버전을 사용해 기밀 데이터와 파일을 탈취합니다. 공격자는 주로 PDF 파일로 위장한 악성 파일이 첨부된 스피어피싱 이메일을 사용합니다. 이들이 선택한 악성코드는 Separ로 브라우저와 이메일 클라이언트에서 로그인 데이터를 훔치고 다양한 문서 및 이미지 타입을 노립니다. 다양한 국가에서 피해자 발생해 ‘강남 인더스트리얼 스타일’(Gangnam Industrial Style)이라 명명된 이 캠페인은 지금까지 시스템 최소 200개를 해킹한 것으로 나타났습니다. 피해자 중 약 60%가 대한민국의 기업이..

국내외 보안동향 2019. 12. 19. 10:40

안녕하세요이스트시큐리티 대응센터(ESRC) 입니다. TA505 조직이 악성메일을 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. TA505 조직은 러시아 정부 지원을 받는 해킹 조직으로 추정되고 있으며, 국내에서도 올해 4월부터 꾸준히 피싱 메일을 통해 악성코드를 유포중에 있습니다. [그림1] 피싱 메일 이번에 발견된 이메일은 연례 보고서라는 제목으로 유포되었으며, 이메일에는 첨부파일 대신 국내 유명 메일서비스의 대용량파일 형태로 첨부되어 있습니다. 메일 본문에 포함된 대용량파일을 클릭하면 .xls 파일이 내려오며, 해당 엑셀파일 안에는 악성 매크로가 포함되어 있습니다. [그림2] 악성 메크로가 포함된 첨부 파일 엑셀 파일 내에는 "MICROSOFT OFFICE EXCEL의 데스크톱 또는 랩톱 버..

악성코드 분석 리포트 2019. 12. 19. 09:12

TP-Link Router Bug Lets Attackers Login Without Passwords TP-Link에서 공격자가 관리자 비밀번호를 우회하여 원격에서 Telnet 연결을 통해 디바이스를 제어할 수 있는 심각한 취약점(CVE-2019-7405)를 패치하였습니다. 공격자가 HTTP Request 중 문자열 길이가 허용된 문자열 길이보다 길 경우,결과적으로 사용자 비밀번호가 무효화 되며 null값으로 대체되게 됩니다. 이 경우 해당 페이지로는 어떠한 비밀번호도 사용할 수 없기 때문에, 공격자는 접근이 가능하지만 합법적인 계정을 가진 사용자 역시 Web 서비스에 접근을 할 수가 없게 됩니다. 또한 이러한 상황에서 피해를 받은 사용자는 콘솔과 shell에도 접근을 할 수가 없기 때문에 새로운 비밀..

국내외 보안동향 2019. 12. 18. 13:01

안녕하세요? 이스트시큐리티입니다. 올 한 해 동안 이스트시큐리티에 변함없는 애정과 관심을 가져주신 모든 분께 송년 인사드립니다. 얼마 남지 않은 올해 행복 가득한 연말 되시기를 바라며, 다가오는 새해에도 기쁨 속 뜻하신 바 순조로이 이루어지시는 한 해가 되시길 바랍니다. 보내주신 큰 성원에 감사드리며, 2020년 새해에도 이스트시큐리티는 더욱 안전한 세상을 만들어가겠습니다. 감사합니다.

이스트시큐리티 소식 2019. 12. 18. 10:16