안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 스미싱 악성앱 처럼 대량으로 유포되진 않지만 꾸준히 제작되어 유포되고 있는 Trojan.Android.SmsAgent에 대하여 알아보도록 하겠습니다. Trojan.Android.SmsAgent는 중국에서 제작된것으로 추정되며 스파이 기능을 수행하는 악성앱입니다. 주요 기능은 피해자의 사생활을 감시하는 것입니다. 스파이류의 악성앱들은 설치 될 경우 피해자가 이를 인지하기 어려울 정도로 은밀하게 동작합니다. 설치 후 피해자가 스마트폰 사용 시 아무런 이상을 찾을 수 없도록 동작 합니다. 과거 스마트폰의 사양이 좋지 않았을 때는 스파이류의 악성앱들이 설치될 경우 스마트폰이 느려지거나 행이 걸리는 경우..

악성코드 분석 리포트 2019. 2. 18. 10:57

[2월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]Wedding in March♡03/02(토)|PM04:00♡ 2 [Web발신][CJ대한통운]주문하신물품 송달하다:도로명불일치.수정하세 3 [CJ]택배 있어요.배송불가.원인:도로명불일치.수정하세요. 출처 : 알약M기간 : 2018년 2월 11일 ~ 2019년 2월 15일

안전한 PC&모바일 세상/스미싱 알림 2019. 2. 15. 08:59

Snapd Flaw Lets Attackers Gain Root Access On Linux Systems 우분투와 및 기타 리눅스 배포판들에서 심각한 권한 상승 취약점이 발견 되었습니다. 이 취약점은 로컬 공격자나 악성 프로그램이 타겟 시스템에서 루트 권한 및 전체 제어 권한을 얻을 수 있도록 허용합니다. 이 취약점은 “Dirty_Sock”이라 명명 되었으며 CVE-2019-7304로 등록 되었으며, 이를 발견한 보안 연구원인 Chris Moberly는 지난달 말 우분투의 제작사인 Canonical에 제보했습니다. 이 취약점은 어플리케이션이 별도의 수정 없이도 다양한 리눅스 배포판들과 호환되도록 하기 위해 사용하는 범용 리눅스 패키징 시스템인 snapd 서비스의 REST API에 존재합니다. Canon..

국내외 보안동향 2019. 2. 15. 08:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.최근 “모바일 전송 메일”로 위장한 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] 이메일 화면 이메일은 현재 악성코드 xls파일을 첨부하여 대량 유포되고 있습니다. 해당 파일은 XLM 매크로를 통해 악성코드 설치파일을 다운로드 합니다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격 제어기능을 합니다. [그림 2] 악성코드 공격 흐름도 이번 메일은 사용자가 확인 가능한 내용이 없기 때문에 궁금증을 유발시켜 첨부 xls파일 실행을 유도합니다. 해당 xls파일 또한 삽입된 매크로가 실행하도록 유도합니다. [그림 3] '인보이스-12-2-2019.xls' 파일 화면 삽입된 XLM 코드는 아래와 같이 숨긴 시트..

악성코드 분석 리포트 2019. 2. 14. 16:06

RunC Flaw Lets Attackers Escape Linux Containers to Gain Root on Hosts runC 컨테이너 코드에서 오픈소스 컨테이너 관리 시스템 다수에 영향을 미치는 심각한 보안 취약점이 발견 되었습니다. 이는 공격자들이 리눅스 컨테이너를 탈출하고 호스트 OS의 승인 되지 않은 루트 수준의 접근 권한을 얻을 수 있도록 허용합니다. CVE-2019-5736으로 등록 된 이 취약점은 오픈 소스 보안 연구원들이 발견했으며, 지난 월요일 SUSE Linux GmbH의 runC 관리자가 이를 공개했습니다. 이 취약점은 컨테이너 생성 및 실행을 위한 가벼운 저레벨 커맨드라인 툴인 runC에 존재했습니다. 컨테이너는 호스트에서 단일 커널을 사용하여 격리 시스템 다수를 실행하기 ..

국내외 보안동향 2019. 2. 14. 08:10

First Android Clipboard Hijacking Crypto Malware Found On Google Play Store 한 보안 연구원이 공식 구글 플레이 스토어에서 사용자들로부터 은밀히 비트코인 및 가상 화폐를 훔치도록 설계 된 크립토 악성코드를 발견했습니다. “Clipper”라 명명 된 이 악성코드는 합법적인 가상화폐 앱으로 위장하고, 안드로이드 클립 보드에 복사 된 가상화폐 지갑 주소를 공격자의 것으로 바꿔치기 하는 방식으로 동작합니다. 가상화폐 지갑 주소는 보안상의 이유로 긴 문자열의 형태로 만들어지기 때문에, 사용자들은 직접 타이핑하기 보다 클립보드를 이용해 복사/붙여넣기를 선호합니다. 이 악성코드는 사용자의 이러한 동작을 악용합니다. 공격을 위해, 먼저 공격자들은 사용자들이 정..

국내외 보안동향 2019. 2. 12. 11:33

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 일명 비너스락커 조직이 최근 새로운 방식으로 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [이미지 1] 지방 경찰서 사칭 이메일 어제(11일)부터 지방 경찰서를 사칭한 악성 메일이 대량으로 유포되고 있습니다. 해당 메일들은 출석통지서.rar이 포함하고 있으며, 온라인 명예훼손 관련 출석통지서(향후 변경 가능)라는 제목으로 유포 중이며, 압축파일 내에는 갠드크랩 랜섬웨어가 포함되어 있습니다. 어제 저녁 이미 일부 언론사에서는 관련 내용으로 보도자료를 배포하였습니다. ▶ 경찰 사칭 메일 열어보니… "갑자기 컴퓨터가 먹통이 됐어요"▶ 경찰서 사칭 스팸메일 무차별 살포… "컴퓨터 먹통됐다"▶ 대구경찰청 "경..

악성코드 분석 리포트 2019. 2. 12. 10:11

Ursnif: Long Live the Steganography and AtomBombing! 이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다. Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다. ..

국내외 보안동향 2019. 2. 11. 13:46