Rig Exploit Kit Pushing Eris Ransomware in Drive-by Downloads RIG 익스플로잇 키트가 새로운 ERIS 랜섬웨어를 배포하고 있는 것으로 드러났습니다. 피해자들은 단순히 웹사이트를 방문하는 것만으로 자신도 모르는 사이 ERIS 랜섬웨어가 시스템에 설치될 수 있습니다. ※ Drive-by download(드라이브 바이 다운로드) 기법이란? 사용자가 이메일에 포함된 URL 주소를 클릭하거나 특정 웹사이트에 접속하였을 때, 사용자도 모르게 악성 소프트웨어가 사용자의 디바이스에 다운로드 되도록 만드는 해킹 기법 ERIS 랜섬웨어는 2019년 ID Ransomware 사이트에 등록되어 발견되었지만, 당시 샘플은 구할 수 없었습니다. 지난 주말, 익스플로잇 키트 연구원..

국내외 보안동향 2019. 7. 10. 11:40

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티가 2019년 7월, 8번째 정보보호의 달을 맞아 '알약과 함께 보안관리 점검하기' 캠페인으로 돌아왔습니다! 일상생활, 업무 등에서 여러 IT 기기들을 활용하는 요즘, 간단한 설문을 통해 함께 보안관리를 점검해보시고, 총 200분[!]께 드리는 카카오 이모티콘의 기회를 놓치지 마시기 바랍니다. ※ 매년 7월은 정부에서 제정한 '정보보호의 달', 7월 둘째 수요일은 '정보보호의 날'입니다. 캠페인 기간· 2019년 7월 10일(수) ~ 2019년 7월 24일(수) 23:59 참여 경품 · 옴팡지게 귀여워 옴팡이 카카오 이모티콘 무조건 선착순 100명! · 옴팡지게 귀여워 옴팡이 카카오 이모티콘 추첨으로 100명 더! 참여 방법 · 아래 링크에서 설문조사 제출 ..

이스트시큐리티 소식 2019. 7. 10. 10:13

Backdoored Torrents Infect Movie, TV Fans with GoBot2 Malware 영화와 드라마 팬들이 몇몇 한국과 중국 토렌트 사이트에서 백도어가 포함된 GoBot2를 배포하는 악성 캠페인의 타깃이 되고 있습니다. GoBotKR이라 명명된 이 악성코드는 지난 2018년 5월 시작된 악성 캠페인의 한 부분으로 배포되고 있었습니다. 또한 한국, 중국, 대만 사용자의 컴퓨터에서 수백 개의 샘플이 탐지되었습니다. 오리지널 GoBot2 백도어에 한국에 특화된 회피 기술이 추가된 것으로 보아, 전문가들은 해당 악성코드가 한국 사용자들을 노리기 위해 개발된 것으로 추측하고 있습니다. Go 언어 기반으로 제작된 GoBotKR 백도어는 지난 2017년 3월 공개된 GoBot2 악성코드를 커..

국내외 보안동향 2019. 7. 9. 14:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 07월 09일, 견적 의뢰로 위장한 악성 이메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 견적 요청 자료로 위장한 악성 메일 이번에 발견된 피싱메일은 견적서 의뢰 메일과 거의 동일한 형식으로 작성되었으며, 특정 기업의 정보를 그대로 도용하였습니다. 악성 피싱 메일에는 '견적 품목 리스트.rar'이라는 RAR 파일이 첨부되어 있으며, 메일을 받은 사용자가 견적 품목 파일로 착각해 압축 파일을 해제하면 아래와 같은 악성 실행 파일을 확인하실 수 있습니다. [그림 2] RAR 파일 안의 악성 실행파일 File Name MD5 pi.exe C3556114FF55BF6965B0BD4605F2044B 해당 악성..

악성코드 분석 리포트 2019. 7. 9. 10:53

7-Eleven Japanese customers lose $500,000 due to mobile app flaw 해커가 7pay 앱 계정을 하이잭한 후 불법 요금을 청구해 세븐일레븐 일본의 고객 약 900명이 총 5,500만 엔(약 51만 달러)를 잃은 것으로 나타났습니다. 이 사건은 세븐일레븐 일본 측이 지난 7월 1일 론칭한 7pay 모바일 지불 앱의 설계상 발생하는 엄청난 보안 취약점 때문입니다. 7pay 모바일 앱은 고객이 세븐일레븐 카운터에 도착하면 폰 화면에 바코드를 보여주고, 구매 제품은 고객의 7pay 앱 또는 해당 계정에 저장된 고객의 신용 또는 직불 카드로 청구되도록 설계되었습니다. 이 앱에는 믿을 수 없는 패스워드 리셋 기능이 설계되어 있는데, 이를 통해 누구나 다른 사람의 계정에..

국내외 보안동향 2019. 7. 8. 10:07

New Godlua Malware Evades Traffic Monitoring via DNS over HTTPS Qihoo 360의 연구원들이 리눅스, 윈도우 사용자를 노리며 DoH(DNS-over-HTTPS)를 통해 통신 채널을 암호화하는 Lua 기반 백도어 악성코드를 발견했습니다. Godlua로 명명된 이 악성코드는 DoH를 사용하여 C&C 서버, 감염된 기기, 공격자가 제어하는 서버 사이의 통신 채널을 HTTPS 요청 내 캡슐화함으로써 연구원들이 트래픽을 분석하는 것을 막습니다. Godlua의 메인 기능은 DDoS 봇으로 보이며, 운영자는 이미 이를 이용하여 liuxiaobei[.]com에 대해 HTTP 플러드 공격을 실행한 것으로 나타났습니다. 지금까지 발견된 Godlua 백도어의 샘플은 2개입..

국내외 보안동향 2019. 7. 5. 10:56

[7월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한 통운]소포 주문 분실, 본인 확인2 고객님 등기소포 반송처리중(내용증명 안내 확인바람) 3 [Web발신] 꽃처럼예쁘게}잘살겠습니다일시:8월11일오후12시장소:모닝글로리청첩장4 [CJ대한 통운]소포 주문 분실, 본인 확인 출처 : 알약M기간 : 2019년 7월 1일 ~ 2019년 7월 5일

안전한 PC&모바일 세상/스미싱 알림 2019. 7. 5. 09:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 비트코인을 비롯한 암호화폐의 가격이 전반적으로 상승세에 있습니다. 이런 암호화폐의 가격 상승에 발맞추어 관련 악성코드가 증가 추세를 보이고 있습니다. 모바일 기기를 타겟으로 하는 암호화폐 악성앱은 크게 3가지로 분류할 수 있습니다. 첫번째는 클리퍼로 피해자의 클립보드를 감시하다가 암호화폐의 지갑주소가 감지 되면 이를 공격자의 지갑주소로 변경하는 공격을 수행 합니다. 두번째는 월렛으로 위장하는 악성앱입니다. 월렛은 암호화폐를 저장하는 지갑이며 악성앱은 이런 월렛으로 위장하여 유포됩니다. 월렛으로 위장한 악성앱을 설치한 피해자가 자신의 지갑 주소 생성을 시도하면 공격자의 지갑 주소를 반환합니다. 이를 모르는 피해자가 공격자의 지갑으로 암..

악성코드 분석 리포트 2019. 7. 4. 18:35