안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 과거부터 한국과 해외 등을 상대로 은밀히 활동중인 APT(지능형 지속 위협) 공격조직 일명 '코니(Konni)'의 배후를 추적하는 과정에서 '탈륨(Thallium)/김수키(Kimsuky)'와 연관된 몇가지 의심스러운 정황들을 관찰했습니다. 김수키 조직은 특정 정부의 지원을 받고 있으며, 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없습니다. 그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 코니와 김수키 조직이 특별한 관계일 가능성이 높다는 결론에 도달했습니다. 본 스페셜 리포트는 베일에 싸여 있던 코니 조직의 배후와 실체를 연구한 ..

악성코드 분석 리포트 2019. 6. 10. 16:11

New Brute-Force Botnet Targeting Over 1.5 Million RDP Servers Worldwide 보안 연구원들이 현재 인터넷에서 공개적으로 접근이 가능한 윈도우 RDP 서버 150만개 이상을 브루트포싱하는 정교한 봇넷 캠페인을 발견했습니다. GoldBrute라 명명된 이 봇넷 체계는 네트워크에 모든 새로운 크랙된 시스템을 추가함으로써 확대 되며, 접근이 가능한 새로운 RDP 서버를 찾아 브루트포싱하도록 설계되었습니다. 이 캠페인의 배후에 있는 공격자들은 보안 툴과 악성코드 분석가들에게 탐지되지 않기 위해 감염된 기기 수백만 대에 고유한 계정/패스워드 조합을 사용하도록 명령했습니다. 그리고 타깃 서버가 서로 다른 IP 주소로부터 브루트포싱 공격을 받도록 설정했습니다. Mor..

국내외 보안동향 2019. 6. 10. 10:52

[6월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [CJ통-운] 택배 주소가 모호하여 정확한 주소를 확정합니..2 [Web발신] 매칭100%으로 서로 연결해주는인연바로여기로!!!!3 신한상담TALK !4 제가 발송한 링크문구눌러주세요 1. 본인신청 눌러주세요 2. 상단에 다운로드중 다운로드완료될시 완료된문구를 눌러주세요 3. 누르면 설정/보안 나옵니다 설정 들어가셔서 출처를알수없는 앱 허용 눌러주세요. 4. 설치 문구가 나옵니다 설치 5. 열기 나오고 열기눌러주세요 6, 모바일 다이렉트 신청하기 누르고작성 이름 ,핸드폰번호..

안전한 PC&모바일 세상/스미싱 알림 2019. 6. 10. 10:25

Unpatched Bug Let Attackers Bypass Windows Lock Screen On RDP Sessions 한 보안 연구원이 금일 마이크로소프트 윈도우의 RDP(원격 데스크톱 프로토콜)에서 패치되지 않은 새로운 취약점에 대한 세부 사항을 공개했습니다. CVE-2019-9510으로 등록된 이 취약점은 클라이언트 측 공격자가 원격 데스크톱 세션의 잠금 화면을 우회해 연결된 기기로 접근을 허용할 수 있는 것으로 나타났습니다. CVE-2019-9510 취약점은 Carnegie Mellon University 소프트웨어 엔지니어링 연구소(SEI)의 Joe Tammariello가 발견했습니다. 이 취약점은 마이크로소프트 윈도우 원격 데스크톱 기능에서 클라이언트가 네트워크 수준 인증(NLA)을 통..

국내외 보안동향 2019. 6. 5. 10:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 등록되지 않은 IP에서 로그인 된 정황이 발견되어, 로그인 시도 활동 및 안전한 이메일을 확인하기 위해 클릭하라는 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 특히 이번 메일은 매스 메일링(Mass-Mailing)기법을 사용하여 약 85명의 불특정 다수에게 메일이 전달 되었습니다. [그림1] 로그인 확인으로 위장 된 이메일 화면 사용자가 비정상적인 로그인 시도를 체크하기 위해 본문에 기재 된 링크를 클릭 시 아래의 주소에서 압축파일을 다운로드 받게 됩니다.파일 다운로드 주소 : https://www.dropbox.com/s/***************/unusual_logins_to_mail_accounts.zip?dl=1 [..

악성코드 분석 리포트 2019. 6. 4. 16:59

macOS 0-Day Flaw Lets Hackers Bypass Security Features With Synthetic Clicks 보안 연구원이 인위적 클릭(Synthetic Click)을 수행하여 보안 경고를 우회하는 새로운 방법을 찾아냈습니다. 이 방법은 사용자가 아무런 행동을 하지 않아도 실행이 가능한 것으로 나타났습니다. 지난 6월, 애플은 MacOS에 모든 응용 프로그램이 기기의 카메라나 마이크, 위치 데이터, 메시지, 브라우징 히스토리를 포함한 시스템의 민감 데이터나 컴포넌트에 접근을 시도할 때, 반드시 사용자의 허가를 얻도록 하는 핵심 보안 기능을 추가했습니다. ‘인위적 클릭(Synthetic Click)’은 사람이 아닌 소프트웨어 프로그램이 만들어낸 프로그래밍된 마우스 클릭을 일컫는..

국내외 보안동향 2019. 6. 4. 09:13

GandCrab operators are shutting down their operations 2018년 초 처음 등장하여 지속적으로 발전을 거듭해온 갠드크랩(GandCrab) 랜섬웨어의 운영자들이, 갠드크랩 운영을 중단할 것이라 밝혔습니다. 사이버 보안 회사인 LMNTRIX는 2018년 초 새로운 서비스형 랜섬웨어인 GandCrab을 발견했습니다. 이는 다크웹의 러시안 해킹 커뮤니티에서 홍보되고 있었으며, RIG 및 GrandSoft 익스플로잇 키트를 사용해 악성코드를 배포했습니다. 약 1년이 넘는 기간 동안 갠드크랩 운영자들은 수많은 기능을 갖춘 여러 갠드크랩 버전을 공개했지만, 이제는 운영을 중단하고 협력자들에게 랜섬웨어 배포를 중단할 것을 요청했습니다. 2018년 10월, Cybaze Z-Lab..

국내외 보안동향 2019. 6. 3. 16:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 06월 03일), 리플라이 오퍼레이터 그룹이 금융회사를 사칭해 'Sodinokibi' 랜섬웨어를 유포한 정황이 포착되었습니다. [그림 1] 금융 회사를 사칭한 피싱 메일 화면 피싱 메일에는 UltraFax 서비스를 통해 금융회사에서 문서를 보냈다는 내용이 들어 있으며, 리플라이 오퍼레이터 그룹이 사용하는 "gmx.com" 도메인으로 발송되었습니다. 또한, 첨부된 RAR 파일에는 비밀번호를 설정해 백신 탐지를 우회하려고 시도하였습니다. [그림 2] 비밀번호가 설정된 RAR 파일 해당 메일을 받은 사용자가 첨부된 파일을 금융 문서로 착각해 압축을 해제하면, '급여 고지.doc.exe'라는 MS Word 문서(.doc)를 위장한 악성..

악성코드 분석 리포트 2019. 6. 3. 15:33