안녕하세요? 이스트시큐리티 시큐리티 대응센터(이하 ESRC) 입니다. 지난 주말 기간 동안 대북관련 단체 등에서 활동하는 주요 인사들에게 스피어 피싱(Spear Phishing) 공격이 수행된 정황이 포착되었습니다. 최근 한국에서 발견되는 다수의 APT(지능형지속위협) 공격은 HWP 문서파일 취약점을 기반으로 하고 있으며, 이번에 발견된 사례 역시 동일하게 HWP 취약점이 악용되었습니다. 특히, 이번 공격에는 자세한 설명이나 내용 없이 배포되었고, 수신자로 하여금 단순 호기심에 첨부파일을 열어보도록 유인한 형태를 띄고 있습니다. ■ 오퍼레이션 블랙 배너 (Operation Black Banner) 등장 ESRC에서는 이번 APT 공격이 '금성121(Geumseong121)'조직이 수행 중인 로켓맨 캠페인..

악성코드 분석 리포트 2019. 4. 29. 11:31

Docker Hub Database Hack Exposes Sensitive Data of 190K Users 지난 26일 해커가 약 19만 명의 사용자들의 중요한 정보를 담고 있는 Docker Hub 데이터베이스 접근한 정황이 확인되었습니다. 노출된 정보에는 일부 사용자 이름과 해시된 암호뿐만 아니라 GitHub 및 Bitbucket 저장소에 대한 토큰도 포함되어있습니다. 늦은 금요일 밤(4/26) 발송된 보안 공지에 따르면, 도커 측은 2019년 4월 25일 도커 허브 데이터베이스에 대한 무단 접근에 대해 인지했습니다. 조사 결과, 해당 데이터베이스에는 약 19만 명의 사용자 정보가 포함되어 있는 것으로 확인되었습니다. 이 정보에는 Docker 오토빌드(Autobuild)에 사용되는 GitHub 및 ..

국내외 보안동향 2019. 4. 29. 08:46

안녕하세요? 이스트시큐리티입니다. 과거부터 현재까지 기업을 대상으로 한 악성코드들이 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 감염 PC를 통해 네트워크 전파, 추가 파일 다운로더, 가상화폐 채굴 기능을 수행합니다. 이 악성코드는 SMB 취약점인 ‘MS17-010’을 통해 내외부 네트워크로 전파되는 것이 특징입니다. 특히 이 취약점은 과거 WannaCryptor 랜섬웨어에 사용되어 큰 피해를 입혔으며 지금까지도 취약점 패치되지 않은 PC를 대상으로 악성코드 전파 목적으로 사용이 되고 있습니다. 본 보고서에서는 앞서 언급한 기능을 수행하는 ii.dat, mn.dat 악성코드에 대해 각각 상세 분석하고자 합니다. 악성코드 상세 분석 이 파일은 감염 PC 정보 전송 및 다운로더 기능과 SMB 취약점을..

악성코드 분석 리포트 2019. 4. 26. 17:19

[4월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]택배 배달 주소가 잘못되었습니다, 주소 수정 전송2 [CJ대한통운]OOO 주소도로 불명, 배달 불가, 주소 재확인3 CIS접수1팀OOO4 [CJ대한통운]주소가 불명해서 배달이 되지 않습니다수정해주세요 출처 : 알약M기간 : 2019년 4월 22일 ~ 2019년 4월 26일

안전한 PC&모바일 세상/스미싱 알림 2019. 4. 26. 14:00

GitHub Service Abused by Attackers to Host Phishing Kits 공격자들이 웹 기반 코드 호스팅 플랫폼인 GitHub에 피싱 키트를 호스팅 해온 것으로 나타났습니다. 이들은 해당 서비스의 무료 저장소를 악용하여 github.io 도메인을 통해 타깃으로 악성코드를 전달했습니다. 공격자들은 GitHub 페이지를 악용하여 화이트리스트와 네트워크 방어 장비를 모두 우회할 수 있게 되었습니다. 드롭박스, 구글 드라이브, 페이팔, 이베이, 페이스북 등 고객이 많은 클라우드 스토리지 사이트, 소셜 네트워킹, 상거래 서비스를 사용할 경우 악성 행위를 정식 웹 트래픽 내에 숨길 수 있기 때문입니다. Proofpoint의 연구원들은 공격자가 github.io 도메인을 피싱 공격을 포함..

국내외 보안동향 2019. 4. 26. 11:12

안녕하세요? 이스트시큐리티입니다. 지난 23일, 이스트시큐리티는 기업을 위한 엔드포인트 위협 대응 솔루션 '알약 EDR'을 정식 출시하였습니다. EDR(Endpoint Detection and Response)은 최근 국내외 보안업계에서 주목받는 개념으로, 엔드포인트 영역에서 진화된 공격 양상을 보이는 악성코드와 지능형지속위협(APT)을 지속적으로 모니터링하고 실질적인 대응을 제공하는 것에 목적이 있습니다. 새롭게 선보인 '알약 EDR'은 기존 국내 사용자 수 1위 백신 프로그램 '알약(ALYac)'과 악성코드 위협 대응 솔루션 '쓰렛인사이드(Threat Inside)'를 연동한 제품으로, 현재 증가하고 있는 글로벌 보안 위협에 대응해 확장된 개념의 차세대 엔드포인트 보안 체계를 제공하는 것이 특징입니다..

이스트시큐리티 소식 2019. 4. 25. 13:49

Zero-day vulnerability in Oracle WebLogic 보안 전문가들이 오라클의 WebLogic 서비스 플랫폼에 영향을 끼치는 제로데이 원격 코드 실행(RCE) 취약점에 대해 경고했습니다. 오라클 WebLogic wls9_async 및 wls-wsat 컴포넌트가 역직렬화(Deserialization) 원격 명령 실행 제로데이 취약점에 영향을 받는 것으로 나타났습니다. 이 제로데이 취약점은 wls9_async_response.war 및 wls-wsat.war 컴포넌트가 활성화된 최신 버전을 포함한 모든 WebLogic 버전에 영향을 미칩니다. 오라클 WebLogic 서버는 오라클이 개발한 Java EE 어플리케이션 서버로, 자바 기술을 기반으로 하는 수많은 어플리케이션 및 기업 웹 포털..

국내외 보안동향 2019. 4. 25. 10:55

jQuery JavaScript library flaw opens the doors for attacks on hundreds of millions of websites 인기 있는 jQuery 자바 스크립트 라이브러리에서 공격자가 자바스크립트 객체(Object)의 프로토타입 변조를 허용할 수 있는 ‘프로토타입 오염(Prototype pollution)’ 결함이 발견되었습니다. jQuery 자바스크립트 라이브러리는 현재 온라인 전체 웹사이트 중 74%에 사용되고 있습니다. 사이트 대부분이 ‘프로토타입 오염’ 결점에 취약한 라이브러리 1.x와 2.x 버전을 사용하고 있었습니다. 해당 라이브러리는 금주 이 문제를 수정하기 위한 보안 패치를 발표했습니다. 이는 해당 코드에서 주요 보안 취약점이 발견된 지 3년 ..

국내외 보안동향 2019. 4. 24. 14:54