New SLUB Backdoor Uses Slack, GitHub as Communication Channels GitHub Gist 서비스와 Slack 메시징 시스템을 통신 채널로 사용하며 워터링 홀 공격을 통해 특정 공격자들만을 노리는 새로운 백도어가 발견되었습니다. ※ 워터링홀 공격 육식동물인 사자가 초식동물 사슴 등을 습격하기 위해 물웅덩이(Watering Hole) 근처에서 매복하고 있는 형상을 상징적으로 표현한 사이버 공격으로 사전에 공격 대상에 대한 정보를 확보해, 관련 분야의 웹 사이트를 해킹하고, 웹 사이트에 악의적인 취약점(Exploit) 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격 ※ 관련글보기 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Op..

국내외 보안동향 2019. 3. 8. 11:18

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 03월 06일, 대북관련 분야 등에서 활동하는 기업에 스피어 피싱(Spear Phishing) 공격이 수행된 것을 확인하였고, 특정 정부의 후원을 받는 해킹조직의 APT(지능형지속위협) 공격 일환으로 분석되었습니다. ■ MP3 음원 파일로 위장한 공격벡터 '오퍼레이션 블랙햇 보이스' 배경 최초 공격은 '검토 요청' 이라는 이메일 제목으로 수행됐으며, '회의 자료 Protected.zip' 파일이 첨부되어 있었습니다. 또한, 이메일 본문에는 '회의 자료 보내드리니 검토해주시기 바랍니다. 파일비번: china0305' 문구가 포함되어 있어서, 첨부된 압축파일에 비밀번호가 설정된 것을 알 ..

악성코드 분석 리포트 2019. 3. 7. 15:59

안녕하세요?이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 03월 07일 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 지난 02월 19일 이와 유사한 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다. 국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의! (2019.02.19) 실제 유포된 이메일을 살펴보면 아래와 같이 한글로된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 작성되어 있습니다. [그림1] 악성 이메일 화면 하지만 발송된 메일의 도메인을 soal.com을 검색해 보면 해당 도메인의 홈페이지로 ..

악성코드 분석 리포트 2019. 3. 7. 14:08

New Google Chrome Zero-Day Vulnerability Found Actively Exploited in the Wild 구글 크롬을 최신 버전으로 즉시 업데이트해야 합니다. 구글의 Threat Analysis Group의 보안 연구원인 Clement Lecigne이 지난달 크롬에 존재하는 위험도 높은 취약점을 발견해 제보했습니다. 이 취약점은 원격 공격자가 임의 코드를 실행해 컴퓨터를 완전히 제어할 수 있도록 허용합니다. CVE-2019-5786으로 등록된 이 취약점은 마이크로소프트 윈도우, 애플 맥OS, 리눅스를 포함한 대부분의 주요 OS 용 크롬 소프트웨어에 영향을 끼칩니다. 크롬의 보안 팀은 해당 취약점의 기술적 세부 정보는 공개하지 않았으며, 이 문제가 크롬 브라우저의 File..

국내외 보안동향 2019. 3. 7. 11:52

APAC Windows Servers Targeted by a New InfoStealer and Cryptomining Campaign CheckPoint의 보고에 의하면, 아시아 태평양 지역의 Windows 서버를 대상으로 한 공격수가 급증하고 있다고 합니다. 연구원들은 감염된 장비에 대한 다른 기술적인 세부사항뿐만 아니라 Windows 사용자의 로그인 자격 증명을 업로드하는 데 효과적인 툴에 기초한 새로운 악성 프로그램 캠페인을 발견했습니다. CheckPoint가 분석한 배치 파일에는 공격자가 보안 툴에 의한 검출을 피할 수 있도록 도와주는 "Regsvr32" 프록시 실행 프로그램, 파워쉘 다운로드 크래들(cradle)이 있습니다. 사용자 데이터의 도용은 Mimikatz를 통해 이루어지고 FTP 서..

국내외 보안동향 2019. 3. 6. 16:49

Google Discloses Unpatched 'High-Severity' Flaw in Apple macOS Kernel 구글 프로젝트 Zero의 사이버 보안 연구원들이 macOS에 존재하는 심각도 높은 보안 취약점의 세부 정보와 PoC 익스플로잇을 공개했습니다. 애플이 버그를 제보받은 지 90일 내 패치를 공개하지 않았기 때문입니다. 이 취약점은 macOS XNU 커널에 존재하며, 공격자가 운영체제에 몰래 파일 시스템 이미지를 조작할 수 있도록 허용합니다. 이로써 공격자나 악성 프로그램이 COW(copy-on-write) 기능을 우회하여 프로세스 간에 공유 되는 메모리에 예기치 않은 변경을 일으켜 메모리 손상(memory corruption) 공격을 가능하게 합니다. COW(Copy-On-Write..

국내외 보안동향 2019. 3. 6. 14:38

Microsoft enabled Retpoline mitigations against the Spectre Variant 2 for Windows 10 지난 주말, 마이크로소프트가 Spectre 공격을 대비하기 위해 Retpoline을 활성화하는 윈도우 10 업데이트를 공개했습니다. 2018년 1월 구글의 Project Zero 연구원들은 Intel, AMD, ARM 등 대부분의 최신 프로세서에 영향을 미치는 Meltdown과 Spectre 사이드 채널 공격을 발견했습니다. ▶ Meltdown&Spectre 취약점이란? Meltdown 공격(CVE-2017-5754)은 공격자들이 타겟 장비의 물리적 메모리 전체를 읽을 수 있도록 허용해 인증 정보, 개인 정보 등이 도난당할 수 있습니다. Meltdown ..

국내외 보안동향 2019. 3. 6. 10:09

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어가 대량으로 유포 중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 이 클롭(CLOP) 랜섬웨어는 개인이 아닌 기업들을 주요 공격 대상으로 하며, 이미 한국인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 하지만 현재까지도 지속적으로 유포되고 있고 국내 기업들의 피해도 점차 확대되고 있는 만큼, 어제(4일) 한국인터넷진흥원은 또 한번 주의 공지를 발표하였습니다. 클롭(CLOP) 랜섬웨어는 기업에서 운용중인 AD 관리자 계정 정보를 탈취하는 방식을 통하여 기업 서버에 침투하며, 다른 랜섬웨어들과는 다르게 유효한 전자 서명을 포함하고 있어 백신 우회를 시도합니다. [그림1..

악성코드 분석 리포트 2019. 3. 5. 15:29