안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47

Two Widely Used Ad Blocker Extensions for Chrome Caught in Ad Fraud Scheme 구글 크롬 웹 스토어 내 인기 있는 애드블록 확장 프로그램인 Adblock, uBlock으로 위장한 확장 프로그램이 사기성 수익을 발생시키는 것으로 나타났습니다. 이 프로그램들은 수백만 사용자의 웹 브라우저의 ‘쿠키 스터핑(Cookie Stuffing)'을 통해 추천 프로그램으로부터 사기성 수익을 창출했습니다. 웹 확장 프로그램은 웹 브라우저에 많은 유용한 기능을 추가해 편리한 브라우징을 가능케하고 생산력도 향상시키지만, 사용자의 프라이버시 및 보안에 큰 위협이 될 수 있습니다. 브라우저 애플리케이션과 인터넷 사이에 위치한 확장 프로그램은 브라우저 보안 모델의 가장 약한 ..

국내외 보안동향 2019. 9. 23. 11:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 URL을 통해서 유포되고 있는 악성 앱의 종류가 더욱더 다양해지고 있습니다. 해당 악성 앱은 유명 택배 앱으로 위장하여 사용자를 속입니다. 또한 분석을 어렵게 하기 위해서 암호화를 통해서 악성 행위와 관련된 코드를 숨기고 so 파일을 활용하여 복호화 합니다. 기기 모델, 전화 번호 등의 기기정보와 문자 관련 정보, 주소록 등의 개인 정보를 탈취하고 C&C서버를 통해 원격 명령을 보내 사용자 몰래 문자 메시지를 전송하고 C&C 주소도 변경할 수 있어 유의가 필요합니다. [그림] 수신 문자를 탈취하는 코드 일부 현재 알약M에서는 해당 악성 앱을“Trojan.Android.Agent”탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 T..

악성코드 분석 리포트 2019. 9. 20. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 입사지원서를 위장한 악성 메일을 유포하고 있는 정황이 확인되어 이용자들의 각별한 주의가 필요합니다. 악성 메일은 이력서와 포트폴리오를 위장하여 사용자에게 악성코드를 유포합니다. 주된 악성행위로 정보 탈취를 수행하고 소디노키비 랜섬웨어를 다운로드 합니다. 수집되는 정보로는 브라우저 기록 정보, 시스템 정보 등이 있습니다. 또한 가상화폐 지갑 수집 대상에 있어 사용자에게 2차 피해를 입힐 수 있습니다. 따라서, 기업 담당자들은 출처가 불분명한 이메일 첨부파일 실행을 지양하여야 하며 사용중인 백신 업데이트의 최신화와 정기점검을 습관화 하여야 합니다. [그림 1] ‘입사지원서'로 위장한 악성 메일 [그림 2] 시스템 정보 수집 코드 일부 현..

악성코드 분석 리포트 2019. 9. 20. 13:52

[9월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1010-XXXX-XXXX라는 전화번호로 부터 다음 문자를 받았습니다. 확인 부탁드립니다! 택배 배송했습니다 cj택배조회2[Web발신][CJ통운] 주문이 완료되지 않아 미거래 상태로 되돌아가다3[Web발신][대한/통운],전화가 연결되지 않으니 확인 부탁드려요 4박하늘(하나)61.230.51[.]240:30모바일 신청서 다운 및 설치방법 1.링크접속-상단모바일신청2.화면상단 부분을 눌러서끌어내린 후 HANA.APK다운로드완료 확인-터치3. 터치후 안내문구-설정- 그후 구형버전은 ..

안전한 PC&모바일 세상/스미싱 알림 2019. 9. 20. 10:48

Skidmap Linux miner leverages kernel-mode rootkits to evade detection Trend Micro의 연구원들이 탐지를 피하기 위해 커널 모드 루트킷을 활용하는 리눅스 가상화폐 마이너인 Skidmap을 발견했습니다. 이 악성코드는 탐지를 피하기 위해 악성 커널 모듈을 로드하기 때문에 다른 유사한 마이너보다 뛰어납니다. 이 가상 화폐 마이너는 시스템의 모든 사용자 계정에 접근하는데 사용할 비밀 마스터 패스워드를 설정합니다. 이 커널 모드 루트킷은 사용자 모드를 사용하는 다른 루트킷에 비해 탐지가 어려울 뿐만 아니라 영향을 받는 시스템에 자유롭게 접근할 수 있습니다. Skidmap은 시스템의 모든 사용자 계정에 접근할 수 있는 비밀 마스터 패스워드를 설정할 수 ..

국내외 보안동향 2019. 9. 19. 11:44

TFlower Ransomware - The Latest Attack Targeting Businesses 해커들이 노출된 원격 데스크톱 서비스를 해킹한 후 기업 환경을 노리는 최신 랜섬웨어인 TFlower를 설치하고 있는 것으로 나타났습니다. 랜섬웨어 개발자들이 기업과 정부 기관을 공격한 사례에서 막대한 돈을 벌었기 때문에 이를 타깃으로 하는 새로운 랜섬웨어가 개발된 것입니다. 8월 초 해커들은 TFlower 랜섬웨어를 실제 공격에 사용했습니다. 당시에는 보통의 랜섬웨어인 것으로 추측되었으나, 사고 대응을 진행했던 한 업체는 TFlower가 더욱 강해지고 있다고 밝혔습니다. RDP를 통한 접근 해커들은 노출된 원격 데스크톱 서비스를 해킹하여 기업 네트워크에 TFlower를 설치하고 있었습니다. 기기 침..

국내외 보안동향 2019. 9. 18. 10:24

Astaroth Spy Trojan Uses Facebook, YouTube Profiles to Cover Tracks 인포스틸러는 일반적으로 이메일, 엔드포인트, 네트워크 보안 장치를 우회하기 위해 정식 서비스를 활용합니다. 이번에 발견된 피싱 캠페인은 Astaroth 트로이목마를 확산시키고 안티 바이러스 제품을 우회하기 위해 페이스북과 유튜브 프로필을 악용하고 있는 것으로 나타났습니다. 공격자는 악성 행위를 숨기기 위해 일반적으로 신뢰 있는 출처를 사용합니다. 이를 통해 스팸 장비 및 네트워크 보안 장비를 우회할 수 있기 때문입니다. 이번에 발견된 캠페인은 ".HTM" 파일로부터 시작됩니다. 그리고 메일의 내용으로는 인보이스, 공연 티켓, 민사 소송으로 이루어진 3가지 테마를 사용하고 있습니다. 타..

국내외 보안동향 2019. 9. 17. 15:44