안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 07월 12일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. [그림 1] HWP 취약점 문서 파일 전반적으로 지난 6월 20일에 라자루스(Lazarus) APT 조직에 의해 수행된 '오퍼레이션 무비 코인'과 유사도가 높습니다. ▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019.06.20) '시스템 포팅 명세서.hwp' 파일명으로 발견된 악성 파일은 07월 11일 오전 11시 20분경 제작된 것으로 추정되며, 고스트 스크립트 모듈의 취약점으로 쉘코드에서 동작해서 봇..

악성코드 분석 리포트 2019. 7. 12. 16:04

안녕하세요 이스트시큐리티입니다. 올해로 벌써 13회를 맞이하는 정보보호의 날에 대해 알고 계신가요? 우리 정부에서는 정보보호의 중요성을 일깨우고, 정보통신기술 관련 종사자의 자긍심을 높이기 위해 매년 7월을 '정보보호의 달'로 지정하고, 7월 둘째 수요일을 '정보보호의 날'로 기념하고 있습니다. 올해 역시 정보보호의 날을 기념하며 기념식과 국제 정보보호 컨퍼런스, 다양한 연계 행사가 개최되었는데요. 대한민국 대표 보안 전문 기업 이스트시큐리티도 정보보호 진로 상담회에 초대받아 함께 참여했습니다. 정보보호 진로 상담회는 예비 인재들이 향후 정보보호 업계로 유입될 수 있는 토대를 마련하여, 청년 실업뿐만 아니라 정보보호 업계의 만성적인 인력 부족 해소에 기여하고자 준비된 시간입니다. 이 날 행사에서는 공공기..

이스트시큐리티 소식 2019. 7. 12. 15:49

Agent Smith Android malware already infected 25 million devices Check Point 연구원들이 새로운 안드로이드 변종인 'Agent Smith'를 발견했습니다. 이 변종은 이미 약 2,500만 기기를 감염시킨 것으로 나타났습니다. 이 악성코드는 구글과 관련된 애플리케이션으로 위장하고 있었으며 피해자의 어떠한 행동 없이도 기기에 설치된 앱을 자동으로 바꿔 치기 하고 알려진 안드로이드 취약점을 악용합니다. 대부분의 피해자들은 인도, 파키스탄, 방글라데시에 위치했으며 영국, 호주, 미국이 그 뒤를 따랐습니다. Agent Smith 악성코드는 자신을 사진 편집 앱과 같은 유틸리티 앱, 성인용 엔터테인먼트, 게임 앱으로 위장하고 서드파티 앱 스토어를 통해 배포되..

국내외 보안동향 2019. 7. 12. 10:56

[7월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]고객님 등기택배 반송처리중(내용증명 안내 확인바람)2 꽃처럼예쁘게}잘살겠습니다일시:7월7일오후2시장소:더브릴리에청첩장3 7/05고객 등기 소포는 위치가 분명하지 않다.올바른 주소 확인4 [Web발신][대한-CJ],운송장번호/고객님/상세주 소다시 확인주세요. 출처 : 알약M기간 : 2019년 7월 8일 ~ 2019년 7월 12일

안전한 PC&모바일 세상/스미싱 알림 2019. 7. 12. 09:25

최근 4차 산업 혁명부터 5G 네트워크까지 정보화 기술이 빠르게 발전하며, 데이터·네트워크·단말기들은 점점 더 방대하고 복잡해지고 있다. 언제 어디서나 인터넷에 접속하여 연결된 정보를 활용한다는 것은 편리함을 줌과 동시에, 그만큼 보안 위협에 더 노출된다는 것을 의미할 수도 있다. 데이터가 돈이 되는 세상에서 현재의 사이버 공간은 해커들이 신나게 먹잇감을 찾아 활개치는 무대이다. 해커들은 더욱 체계적이고 치밀한 공격을 통해 위협을 만들어내고 있으며, 그 위협은 앞으로도 계속 증가할 것이다. 이에 대응하기 위해 보안업체 또한 새로운 방어체계를 갖춘 EDR, SOAR, MDR 등의 솔루션을 개발하고 있는데, 이러한 솔루션과 함께 시너지를 낼 수 있는 ‘위협 인텔리전스 (Threat Intelligence)’..

전문가 기고 2019. 7. 11. 16:57

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 2분기 알약을 통해, 총 24만 7천727건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 2분기에는 알약을 통해 랜섬웨어 공격이 총 247,727건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 2,723건의 랜섬웨어 공격이 차단된 것입니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 시큐리티대응센터(이하 ESRC)는 이번 2분기 랜섬웨어 ..

전문가 기고 2019. 7. 11. 10:59

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다. [그림 2] PDF ..

악성코드 분석 리포트 2019. 7. 11. 09:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 05일, 웹페이지상에서 사용자의 메일과 비밀번호를 입력하게끔 유도하는 스피어 피싱이 발견되었습니다. 이 피싱 메일들은 조달 견적 요청 메일과 송금 증명서(remittance certificate)를 사칭하여 유포되었습니다. [그림 1] 조달 견적 사칭 메일 [그림 2] 송금 증명서(remittance certificate) 사칭 메일 이번에 발견된 피싱메일은 중소기업을 타깃으로 유포되었으며, 각가 htm 파일과 dat 파일을 첨부한 것이 특징입니다. 먼저, 조달 견적을 사칭한 메일의 htm 파일을 열어보면 다음과 같이 국내 포털 사이트인 네이버 로그인 화면을 보여줍니다. [그림 3] 네이버 로그인 페이지를 사칭한 피싱 사이트 ..

악성코드 분석 리포트 2019. 7. 10. 16:20