안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다. [그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면 피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다. [그림 2] 도메인 비교 화면 메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다. [그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일 만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\U..

악성코드 분석 리포트 2019. 6. 17. 16:48

Crooks exploit exposed Docker APIs to build AESDDoS botnet 사이버 범죄자들이 DevOps 툴인 Docker Engine 커뮤니티의 오픈소스 버전에 존재하는 잘못 구성된 API 설정을 악용하여 Docker 컨테이너에 침투하려 한 정황이 발견되었습니다. 공격자들은 해당 API 설정을 악용해 리눅스 봇인 AESDDoS를 실행하려 시도하고 있는 것으로 나타났습니다. 공격자들은 포트 2375에서 인터넷에 노출된 Docker API를 활발히 스캐닝하고 있으며, AESDDoS 트로이목마를 드롭하는 악성코드를 전달하는데 사용됩니다. Trend Micro는 공격자는 특정 IP 범위에 TCP SYN 패킷을 포트 2375에 보내는 방식으로 외부 스캔을 수행하고 있으며, 2375..

국내외 보안동향 2019. 6. 17. 14:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다. ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다. File Name MD5 **_제17기 북한선교학교 신청서.hwp (이름 * 표시) eb4384dbdac5f5177533714551bf16e2 해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다. 'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다. Author Last Saved By 네이버 한글캠페인 User1 - 금성121 조직, 학술..

악성코드 분석 리포트 2019. 6. 15. 02:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 6/12 오후부터 NH농협은행 보안팀에서 보낸 메일처럼 위장한 피싱메일이 시중에 대량으로 유포되고 있어 사용자 여러분의 주의가 필요합니다. 피싱메일 분석한 결과, 리플라이 오퍼레이터 그룹에서 유포한 것으로 확인되었으며, 기존의 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등 공공기관에서 보낸 것처럼 사용자를 속이던 방식에서 최근에는 금융회사를 사칭해 랜섬웨어를 유포하는 방향을 선호하는 것으로 보입니다. [그림 1] NH농협은행을 사칭한 피싱메일 시중에 유포되고 있는 피싱 메일은 NH농협 보안팀이 보낸 것으로 되어 있고 신뢰도를 높이기 위해 직원 이름 역시 사용하고 있습니다. 이 직원 이름은 실제 NH농협 ..

악성코드 분석 리포트 2019. 6. 14. 22:50

Cisco IOS XE Software Receives Fix Against High-Severity Flaw Cisco가 심각도 높은 CSRF(cross-site request forgery) 취약점을 수정하기 위해 IOS XE 소프트웨어의 업데이트 버전을 공개했습니다. 데모 익스플로잇 코드 또한 찾아볼 수 있었습니다. 해커가 CSRF 취약점을 악용하면 피해자가 인증이 완료된 경우, 웹 페이지나 앱에서 원치 않은 행동을 실행하도록 강제할 수 있는 것으로 나타났습니다. 이 공격은 악성 링크를 통해 배포될 수 있으며, 로그인된 사용자와 동일한 권한으로 실행됩니다. 많은 Cisco IOS XE 버전들이 영향받아 CVE-2019-1904로 등록된 이 취약점은 Cisco IOS XE 소프트웨어 구 버전들에 영향..

국내외 보안동향 2019. 6. 14. 10:37

[6월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [C★J★통★운]주소정보 불분명하여 물건 배송이 안돼요. 주소 재확2 [Web발신][-CJ대한], 06/12(등기택배 회송처리) 재확인바람 주소지확인3 [우체국] 고객택배 주소가 이상합니다. 올바른 주소 수정4 [Web발신][KGB택배]OOO택배 거주지 주소가 명확하지 않습니다.변경요망. 출처 : 알약M기간 : 2019년 6월 10일 ~ 2019년 6월 14일

안전한 PC&모바일 세상/스미싱 알림 2019. 6. 14. 09:02

Bad Cert Vulnerability Can Bring Down Any Windows Server 구글 보안 전문가가 Windows 8 서버 및 이후 버전의 메인 암호화 라이브러리에서 서비스 거부(DoS)를 유발할 수 있는 취약점을 발견했습니다. 이 문제는 Windows 8 및 Windows 10 버전 1703에 암호화 알고리즘을 구현하는 주요 라이브러리인 "SymCrypt"에 존재합니다. 조작된 인증서로 버그 유발 가능해 SymCrypt를 악용하는 이 취약점은 구글의 취약점 연구가인 Tavis Ormandy가 발견했습니다. 그는 특정 비트 패턴에서 "bcryptprimitives!SymCryptFdefModInvGeneric"를 사용하여 모듈러 역수를 계산할 때 연산이 끝나지 않는다는 것을 발견했습..

국내외 보안동향 2019. 6. 13. 16:28

안녕하세요? 이스트시큐리티입니다. 알약이 분양 프로젝트 5탄! '소중한 프라이버시, 알약M 앱잠금으로 지키자!' 이벤트가 찾아왔습니다! 지문, 패턴, 비밀번호의 세 가지 잠금 방법을 지원하는 알약M의 앱잠금 기능으로 민감한 앱을 잠가 스마트폰을 더욱 안전하게 사용해보세요! 아래에서 참여 방법을 확인하고 이벤트에 참여하면 알약이와 푸짐한 선물 당첨의 기회는 덤으로 가져가실 수 있어요!😚 💡 참여 방법① 알약M 앱 실행 후, 앱잠금 기능에서 보호하고 싶은 앱에 잠금 설정하세요.② 잠금 설정한 앱을 실행하면 나타나는 알약M 앱잠금 화면을 캡처하세요.③ 캡처한 사진을 아래 이벤트 참여 링크에 댓글로 남기면 응모 완료!▶ 이벤트 참여하기 (클릭) * 알약M 앱잠금 기능 자세히 보기 >> (LINK) 📅 응모 기간..

이스트시큐리티 소식 2019. 6. 12. 17:04