안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자 PC를 감염시키고 원격제어를 수행하는 악성코드가 발견되었습니다. 이 악성코드는 PDF 문서파일 아이콘과 ‘.SCR’확장자를 사용하여 화면 보호기 파일로 위장했습니다. 이는 사용자로 하여금 악성 파일을 정상 파일로 착각해 실행을 유도하기 위함입니다. [그림] 키로깅 코드 일부 감염된 PC는 공격자의 명령에 따라 제어되므로 원치 않는 악성 행위를 시도합니다. 명령의 일부로 감염 PC의 폴더 및 프로세스, 브라우저 정보 등을 탈취하고 키로깅을 수행합니다. 이는 특히 사용자의 민감한 정보가 유출될 우려가 있고, 2차 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다. 현재 알약에서는 해당 악성 코드를 ‘Backdoor.RAT.N..

악성코드 분석 리포트 2019. 12. 17. 15:47

Chinese e-commerce site LightInTheBox.com bared 1.3TB of server logs, user data and more 보안 연구원들이 중국의 온라인 판매 웹사이트인 LightInTheBox.com의 웹 서버 로그 데이터 1.3TB가 유출된 것을 발견했습니다. VPN 비교 사이트인 VPNmentor의 연구 팀인 Noam Rotem과 Ran Locar는 지난 11월 말 이 유출 사고를 발견했습니다. 해당 데이터는 “보호되지 않았으며, 암호화되지도 않은 채” 일반적인 웹브라우저에서 접근이 가능했으며, 엘라스틱서치 데이터베이스에도 보관되어 있었습니다. “우리가 발견한 데이터베이스는 2019년 8월 9일 ~ 10월 11일 사이의 해당 사이트 내 페이지 요청 히스토리, 사용..

국내외 보안동향 2019. 12. 17. 15:21

안녕하세요. 이스트시큐리티입니다. 2019년에도 정말 다양한 보안이슈들이 혼재했던 한해였던 것 같습니다. 이스트시큐리티에서는 2020년에는 어떤 보안이슈들이 발생할 것인지 예상해 보며, 또한 2019년 한해동안 발생했던 주요 보안이슈들에는 어떤 것들이 있었는지 짚어보는 시간을 가져보려 합니다. 2020년 보안이슈 Top5 예상 1. 여러가지 플랫폼이 혼재된 사회공학적 기법 범위 확대전통적인 이메일을 활용한 사회공학적 기법은 물론, 페이스북과 같은 SNS, 유튜브와 같은 동영상사이트, 카카오톡 등을 통한 악성 안드로이드 악성앱 전파 방식의 고도화 및 맞춤형 모바일 APT 공격의 범위가 확대될 전망입니다. 맥OS 악성코드를 활용한 공격 역시 증가가 예상됩니다.특히, 국방·통일·외교·안보 및 대북 관계자를 겨..

전문가 기고 2019. 12. 17. 11:39

Flaw in Elementor and Beaver Addons Let Anyone Hack WordPress Sites 최근 업데이트 하지 않은 "Ultimate Addons for Beaver Builder" 또는 "Ultimate Addons for Elementor"를 사용하는 워드프레스 홈페이지라면, 주의가 필요합니다. 보안 연구원들이 널리 사용되는 이 유료 워드프레스 플러그인 두 개 모두에서 악용이 쉬운 인증 우회 취약점을 발견했습니다. 공격자가 이 취약점을 악용할 경우 패스워드가 없이도 원격으로 사이트의 관리 권한에 접근할 수 있게 됩니다. 공격자들은 이미 약 이틀 전부터 이 취약점을 악용하여 취약한 워드프레스 웹사이트를 해킹하여 악성 백도어를 설치하기 시작했습니다. 이 취약한 플러그인 두 ..

국내외 보안동향 2019. 12. 16. 10:22

[12월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 OO캐피탈 김O빈대리 입니다. http://180.178.63[.]211/hdone/ 안심전환대출상품 접수바랍니다.2 이O욱 - 친절한상담,멋진결과♪3 [CJ*통*운]조O아도로 명칭이 틀렸으니 정확하게 입력해주세요4 ♪ 출처 : 알약M기간 : 2019년 12월 06일 ~ 2019년 12월 13일

안전한 PC&모바일 세상/스미싱 알림 2019. 12. 13. 16:44

Massive Magecart campaign targets sites offering counterfeit sneakers 스니커즈의 인기가 높아질수록 위조품을 판매하는 사이트들 수 또한 급격히 늘어나고 있으며, 공격자들은 이 기회를 악용하여 수익을 올리려 하고 있는 것으로 나타났습니다. Malwarebytes의 연구원들은 해커가 이러한 사이트를 노려 구매자의 신용카드 정보를 탈취하도록 설계된 악성 Magecart 스크립트를 심고 있다고 밝혔습니다. "최근 브랜드 신발을 판매하는 사기성 사이트 수 백 곳에 신용카드 스키머가 삽입된 것을 확인했습니다. 이 사이트를 이용하는 쇼핑객들은 위조품을 받을 뿐만 아니라, Magecart 사기꾼들에게 개인 및 금융 정보를 내어 주게 됩니다.” 전문가들은 이러한 위조..

국내외 보안동향 2019. 12. 13. 11:28

2019년 12월 10일, VoltJockey(CVE-2019-11157) 취약점이 발견되었습니다. 해당 취약점은 마이크로 아키텍처 설계과정 중 동적 주파수 관리 모델 DVFS（Dynamic Voltage and Frequency Scaling)에 존재하는 보안취약점 떄문에 발생합니다. VoltJockey 취약점은 주파수 오류를 기반으로 CPU에 인젝션 하는 형식으로, 하드웨어 오류를 이용하여 CPU 하드웨어 격리설비(예 TurstZone)를 공격합니다. 또한 유사한 형태의 TrustZone의 기타 CPU의 보안확장 하드웨어들에도 유사한 효과를 줄 수 있습니다. 현재 VoltJockey 취약점은 주류 CPU 칩에 모두 존재하며, 현재 주로 사용되는 휴대폰 간편결제, 안면/지문인식, 클라우드 계산기 등에 ..

국내외 보안동향 2019. 12. 12. 17:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다. 초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다. 탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다. ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다. 이번 공격에 사용된..

악성코드 분석 리포트 2019. 12. 12. 15:10