■ 라자루스 위장술 처음 도입된 '오퍼레이션 이미테이션 게임' 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 특정 국가차원의 명령을 받아 은밀하게 진행되는 APT(지능형지속위협) 캠페인이 다양하게 발견되고 있는 가운데, 매우 흥미로운 스피어 피싱(Spear Phishing) 공격 사례를 포착하였습니다. ESRC는 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 '금성121(Geumseong121)' 조직이 마치 '라자루스(Lazarus)' 조직인 것처럼 위장한 교란 전술(False Flag) 흔적을 식별했습니다. 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 '라자루스', '금성121'을 관찰하던 중 '금성121' 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했..

악성코드 분석 리포트 2019. 8. 3. 00:18

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제 오후 특정 대학교를 타깃으로 한 스피어 피싱 공격이 포착되었습니다. 이번에 발견된 스피어 피싱 메일은 타깃 사용자의 메일 저장 용량을 늘려야 한다면서, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."라는 문장에 계정 정보를 탈취하기 위한 링크가 삽입되어 있었습니다. [그림 1] 메일 저장 용량 내용의 스피어 피싱 공격 메일 만약 해당 스피어 피싱 메일을 받은 사용자가 본인의 계정의 메일 저장 공간이 부족해 안내된 메일로 착각하고, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."를 클릭한다면 아래와 같이 로그인 페이지를 위장한 피싱 페이지를 확인하실 수 있습니다. [그림 2] 로그인 페이지를 위장한 피싱 페이지 피싱 페이지에는 이..

악성코드 분석 리포트 2019. 8. 2. 13:28

New Mirai botnet hides C2 server in the Tor network to prevent takedowns 트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다. 연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다. 미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다. 미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났..

국내외 보안동향 2019. 8. 2. 10:50

[8월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]고객님 안녕하세요. 배송주소 오류로 배송이 지연되고 있습니다. 정확한 주소 수정해주세요.2 민기원저희 농협 제외 타 은행권 모바일뱅킹,인터넷뱅킹, 텔레뱅킹이 되어있으실경우 설정 들어가셔서 잠금화면 및 보안 -출처를 알수 없는앱 허용하시고 나서 http[:]//61.231.177.XXX본인인증 -다운로드 완료되었습니다 클릭-설치 - 열기 누르시면 신청하시는 란이 나오십니다 3 [Web발신][CJ대한통운] 7/28 고객님 주소 오류, 배달 실패, 주소..

안전한 PC&모바일 세상/스미싱 알림 2019. 8. 2. 09:26

Trivial Bugs in Western Digital SSD Utility Puts Owners at Risk 보안 연구원들이 Western Digital 및 SanDisk SSD 대시보드 애플리케이션에 존재하는 취약점에 대한 세부 내용을 공개했습니다. 이 취약점은 공격자가 사용자의 컴퓨터에서 임의 코드를 실행하는데 악용될 수 있습니다. 이 애플리케이션은 모두 유틸리티 키트로 SSD 성능 모니터링, 문제 진단, 트러블슈팅 정보 수집을 돕습니다. 이 패키지는 SSD 펌웨어 업데이트 및 드라이브 세부 정보(모델, 용량, SMART 속성)을 읽기 위한 툴을 함께 제공합니다. 중간자 공격(Man-in-the-middle) 해커는 중간자 공격(MitM)에서 이 취약점을 악용하여 시스템 정보를 탈취하거나 애플리..

국내외 보안동향 2019. 8. 1. 10:52

안녕하세요?이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다. 이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다. 이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때..

악성코드 분석 리포트 2019. 7. 30. 18:55

안녕하세요? 이스트시큐리티입니다. 2019년 7월 정보보호의 달 맞이 이스트시큐리티 ‘대국민 보안관리 실태조사’ 설문에 많은 분들께서 참여해 주셨습니다. 이번 설문조사는 2019년 7월 10일~24일 15일간 역대 최다 참여 수인 16,873명으로 마감하였습니다. 이 자리를 빌어 감사 말씀 드립니다. 스마트폰, 노트북부터 태블릿, 웨어러블 기기까지 다양한 기기를 일상생활과 업무환경에 활용하는 요즘, 지속적인 보안관리에도 힘써야 할 때인데요. 개인 IT 기기 보안관리의 현주소는 어떤지, 함께 확인해 보시길 바랍니다. 설문 문항은 크게 ▲개인 IT 기기의 보유 및 사용 현황 ▲보안관리 방법 ▲랜섬웨어 인식을 묻는 항목으로 구성됐으며, 응답자 총 16,873명 중 남성은 9,449명(56%) 여성은 7,424..

전문가 기고 2019. 7. 30. 16:30

Android ransomware is back 지난 2년간 안드로이드 랜섬웨어가 주춤한 후, 새로운 랜섬웨어 패밀리가 등장했습니다. ESET이 발견한 이 새로운 안드로이드 랜섬웨어는 "Android/Filecoder.C"로, 다양한 온라인 포럼 및 피해자의 모바일 기기 주소록을 통해 악성 링크를 포함한 SMS로 확산됩니다. 좁은 타깃팅, 캠페인 실행 및 암호화 구현에 존재하는 결함으로 인해 이 랜섬웨어의 영향은 제한적입니다. 하지만, 개발자들이 해당 결함을 수정하고 랜섬웨어 운영자들이 더욱 많은 사용자들을 노릴 경우, Android/Filecoder.C는 심각한 위협이 될 수 있습니다. Android/Filecoder.C는 늦어도 2019년 7월 12월부터 활동을 시작한 것으로 보입니다. 연구원들이 이..

국내외 보안동향 2019. 7. 30. 16:14