Malware Spreads As a Worm, Uses Cryptojacking Module to Mine for Monero 웜의 기능을 갖춘 모듈형 악성코드가 한 서버에서 다른 서버로 확산되고 모네로 가상화폐를 채굴하기 위해 ElasticSearch, Hadoop, Redis, Spring, Weblogic, ThinkPHP, SqlServer를 실행하는 서버의 알려진 취약점을 악용하는 것으로 나타났습니다. PsMiner라는 이름의 이 악성 코드의 웜 모듈인 systemctl.exe는 Go 언어로 작성된 윈도우 바이너리로 인터넷에서 찾을 수 있는 취약한 서버를 해킹하여 침투하는데 사용될 수 있는 익스플로잇 모듈을 포함하고 있습니다. 이 외에도 PsMiner 웜 모듈은 타깃이 취약하거나 디폴트 인증 ..

국내외 보안동향 2019. 3. 13. 14:02

STOP Ransomware Installing Password Stealing Trojans on Victims STOP 랜섬웨어 패밀리가 피해자의 파일을 암호화하는 것 외에도 피해자의 계정 인증정보, 가상 화폐 지갑, 데스크탑 파일 등을 훔치기 위해 Azorult 패스워드 탈취 트로이목마를 설치하기 시작한 것으로 나타났습니다. Azorult 트로이목마는 브라우저 및 파일에 저장된 계정, 패스워드, 가상 화폐 지갑, 스팀 크리덴셜, 브라우저 히스토리, 스카이프 메시지 등을 훔치는 역할을 합니다. 훔친 정보는 공격자가 제어하는 원격 서버로 업로드됩니다. STOP 랜섬웨어의 DJVU 변종은 지난 1월 가짜 소프트웨어 크랙을 통해 배포되었습니다. 당시 이 악성코드가 실행될 때 피해자의 컴퓨터에서 여러 작업을..

국내외 보안동향 2019. 3. 12. 13:52

Severe Flaw Disclosed In StackStorm DevOps Automation Software 보안 연구원들이 인기 있는 이벤트 자동화 오픈소스 플랫폼인 StackStorm에서 개발자들이 알지 못하는 사이 원격 공격자들이 타겟 서비스에서 임의 명령을 실행하도록 속일 수 있는 심각한 취약점을 발견했습니다. StackStorm는 DevOps IFTTT로 알려져 있는데, 강력한 자동화 툴로 개발자들이 대규모 서버에서 작업을 수행하기 위한 행위, 워크플로우, 예약 작업 등을 구성할 수 있도록 서비스와 툴을 통합 및 자동화하는데 사용합니다. ※ IFTTT(If This Then That)란? 인터넷과 컴퓨터에 존재하는 여러 별개의 서비스와 어플들을 임의로 연동시켜주는 서비스로, IFTTT가 지원..

국내외 보안동향 2019. 3. 12. 09:49

안녕하세요? 이스트시큐리티입니다. 최근 구글의 권한 정책이 강화됨에 따라, 알약M에도 크고 작은 변화가 생겼습니다. 강화된 권한 정책에 맞춰 달라진 몇 가지 사항을 사용자 여러분께 안내해 드립니다. 구글 권한 정책 강화로 달라진 점은 '통화 기록'과 'SMS 권한'에 대해 높은 보안 정책이 요구된다는 점입니다. 그 때문에 안드로이드의 기본 전화 앱과 문자메시지 앱이 아닐 경우, 해당 권한에 접근할 수 없게 되었습니다. 이에 따라, 알약M과 같은 백신 앱 역시 통화 기록과 SMS 권한 접근이 제한되었습니다. 알약M은 구글 권한 정책에 대응하고, 사용자 여러분에게 최대한 편리하고 안전한 모바일 환경을 제공해드리고자 v2.1.4 업데이트를 통해 큰 세 가지 변화를 하게 되었습니다. 1. 스팸 전화 차단 기능 ..

이스트시큐리티 소식 2019. 3. 11. 17:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 11일) ESRC에서는 알집 압축파일 확장자(.egg)를 이용해 RAT을 이메일로 유포하는 공격을 포착하였습니다. 이번 공격은 선하증권을 확인하라는 내용의 이메일로 유포되고 있으며, 이메일 제목에 '선하증권 확인'으로 시작하는 표현을 담고 있습니다. ※ 선하증권(bill of lading) 해상운송계약에 따른 운송화물의 수령 또는 선적을 인증하고, 그 물품의 인도청구권을 문서화한 증권 또한, 발신자 이메일 도메인으로 CHINA SEA GROUP을 사칭하였고, 실제 이 그룹의 상하이 지점 연락처를 도용하여 이메일 본문에 첨부하였습니다. 첨부파일의 타이틀 역시 "선하증권확인 SSHKH8110002.egg"으로 실제 해상운송..

악성코드 분석 리포트 2019. 3. 11. 17:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 금일(2019년 03월 11일) ESRC에서는 2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직이 기존의 랜섬웨어 공격의 진화된 형태로 악성코드를 유포하고 있다는 점을 포착하였습니다. 최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 '[비너스락커] 랜섬웨어 유포 조직'과는 확연히 구분되고 있는 상태입니다. 이전 포스팅에서 해당 갠드크랩의 특징으로 어눌한 한국어 표현을 사용한다고 전해 드렸는데, 이번에 발견된 공격의 경우 이전 내용과 달리 한국어 표현이 많이 자연스러워 진 것을 확..

악성코드 분석 리포트 2019. 3. 11. 11:51

Jackson County paid $400,000 to crooks after ransomare attack 조지아 주 잭슨 카운티(Jackson County)의 컴퓨터들이 공격을 받아 정부 업무가 마비되는 사건이 발생했습니다. 이 컴퓨터들은 랜섬웨어에 감염된 것으로 나타났으며, 해당 기관은 파일을 복호화 하기 위해 $400,000 상당의 랜섬머니를 지불하기로 결정했습니다. 잭슨 카운티 측은 공격이 처음 발생한지 일주일 만에 컴퓨터와 서버를 모두 복호화 하는 작업 중이라고 밝혔습니다. 응급 및 이메일 서비스를 포함한 잭슨 카운티 내 모든 부서의 컴퓨터들이 이 악성코드에 감염되었으며, 911 운영 시스템만 영향을 받지 않았습니다. 잭슨 카운티 측은 업무는 정상적으로 진행되고 있으나, 현재 이메일 서비스가..

국내외 보안동향 2019. 3. 11. 09:44

[3월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1[Web발신]♡Please Bless Our Marriage♡|2019/03/23(토)AM:11:00| 2[Web발신]♡2019년3월24일(일요일)오후3시♡서로가 서로를 만나 하나가 되기까지...이제 저희 두 사람,평생 한 곳을 바라보며 살고자 합니다.부디 참석하시어 저희의 새로운 출발을 지켜봐 주시기 바랍니다.늘 처음의 마음처럼 행복하게 살겠습니다. 3사랑은 열정과 약속과 책임감의 균형입니다.그러한 한 톨의 사랑, 한 송이 사랑이 마침내 저희에게 왔습니다.처음처럼 조심조심 ..

안전한 PC&모바일 세상/스미싱 알림 2019. 3. 8. 14:02