안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 지난주부터 제조업, 대학, 병원을 가리지 않고 국내 기업에서 SMB 취약점(MS17-010)을 통한 악성코드 감염 피해가 접수되고 있어, 기업 관계자의 각별한 주의가 필요합니다. 해당 취약점은 2017년 5월 전세계를 강타했던 워너크라이(WannaCry) 랜섬웨어가 유포되었던 SMB 취약점 방식과 유사한 방법으로 유포되고 있는 중입니다. ※ 관련글 보러가기 ▶ SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 (2017.05.13) ▶ SMB 취약점의 위협은 아직 끝나지 않았다 (2017.05.24) 해당 악성코드는 가상 화폐를 채굴할 목적으로 제작되었으며, Window..

국내외 보안동향 2019. 3. 27. 17:00

Researchers: LockerGoga coding error can be exploited to prevent malicious encryption 2019년 초 제조업계를 노린 LockerGoga 랜섬웨어에서 코딩 에러가 발견되었습니다. 연구원들은 이를 이용하면 파일 암호화를 멈출 수 있을 것이라 밝혔습니다. ※ 관련글 보러가기 ▶ Altran 공격에 사용된 것으로 추정되는 LockerGoga 랜섬웨어 발견 위협 관리 회사인 Alert Logic는 블로그 포스팅을 통해 해당 악성코드가 .Ink 파일 확장자를 처리하는 방식에서 문제를 발견했습니다. 연구원들에 따르면, LockerGoga 랜섬웨어는 손상된 기기에 어떤 파일들이 있는지 확인하기 위해 시스템을 스캔합니다. 시스템을 스캔하는 중에 Lock..

국내외 보안동향 2019. 3. 27. 10:52

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다. [그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel) ■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직 ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다. 먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다. 공격 대상은 이스라엘 국가가 전액 출자한 국방산..

악성코드 분석 리포트 2019. 3. 27. 10:13

Warning: ASUS Software Update Server Hacked to Distribute Malware 대만의 거대 기술 기업인 ASUS가 생산한 컴퓨터 백만 대 이상을 손상시킨 대규모 공급망 공격(Supply Chain Attack)이 발견되었습니다. ※ 공급망 공격(Supply Chain Attack)이란?SW 공급망 공격이란 정상 소프트웨어를 배포하거나 업데이트하는 과정에 침투해, 이를 변조하거나 악성코드를 숨기는 공격 방식입니다. 해당 악성코드들은 감염 컴퓨터의 데이터를 탈취하거나, 공격자의 명령제어 서버와의 통신으로 추가적인 악성코드도 다운로드 시킬 수 있습니다. 이 해커 그룹은 지난해 2018년 5월 ~ 11월 사이 ASUS의 Live 자동 소프트웨어 업데이트 서버를 해킹하는데 ..

국내외 보안동향 2019. 3. 26. 11:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 25일) 오후, ESRC에서는 새로운 헌법재판소 사칭 악성 이메일을 포착하였습니다. 해당 메일은 아래 그림과 같이 내용이 깨진 상태로 유포되었으나, 1시간 뒤에 제대로 된 내용의 메일을 재유포 하였습니다. [그림 1] 본문 내용이 깨진 상태의 악성 이메일 화면 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있으며 어눌한 한국어를 사용하는게 특징인 조직이었습니다. 하지만 최근에 이 조직은 이전에 발견된 내용과 달리 한국어 표현이..

악성코드 분석 리포트 2019. 3. 25. 16:27

WordPress plugin zero day exploited in the wild 해커들이 최근 패치된 WordPress 플러그인 Easy WP SMTP의 제로 데이 취약점을 계속 악용하고 있는 것으로 밝혀졌습니다. 이 취약점을 악용하면 공격자는 일반 사용자 계정에서 사이트의 관리 계정으로 권한을 부여할 수 있습니다. 이 제로데이 취약점은 3월 15일 Easy WP SMTP 1.3.9 버전에서 처음 악용되었고 워드프레스는 3월 17일 1.3.9.0 버전에 대한 업데이트를 발표했습니다. 그리고 아직 시스템을 업데이트하지 않은 WordPress Premium을 이용하는 사용자들을 위해 방화벽 규칙을 발표했습니다. 무료 사용자들은 30일 이후 방화벽에 접속할 수 있지만, 최신 버전의 Easy WP SMTP..

국내외 보안동향 2019. 3. 25. 11:53

시리즈④ 알약이 지키는 PC에 랜섬웨어란 없다! '랜섬웨어 차단 기능' 사용자 후기 안녕하세요? 이스트시큐리티입니다. 앞선 시리즈 포스팅으로 알약의 랜섬웨어 차단 기능, 이스트시큐리티가 보유한 랜섬웨어 차단기술 등을 소개해드렸습니다! 이번 포스팅에서는 앞선 포스팅에서 소개한 국내 최초 랜섬웨어 차단 기술을 적용한 이스트시큐리티의 알약을 통해 랜섬웨어를 차단한 사용자분들의 생생한 후기를 만나보도록 하겠습니다! 랜섬웨어 차단 후기 첫번째 - 알약이 랜섬웨어도 자동으로 차단해주네요! 사용자님이 올려주신 알약 랜섬웨어 차단 알림화면 딱 켜니까 나오는데 눈돌아가는거 참고 해결했습니다...전용처리툴이 알약에 배포되네요.우회포트는 자동으로 차단해주네요. 네이버 카페 모듬******님의 후기 랜섬웨어의 파일 암호화 시..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 3. 25. 10:44

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30