STOLEN PENCIL campaign, hackers target academic institutions. 북한과 관련이 있는 APT 그룹이 적어도 올해 5월부터 교육 기관들을 노리고 있었던 것으로 나타났습니다. 이들은 교육 기관들에 스피어 피싱 공격을 실행했습니다. 이 피싱 메시지에는 사용자들이 악성 구글 크롬 확장 프로그램을 설치하도록 속이려 시도하는 디코이 문서가 있는 웹사이트로의 링크도 포함 되어 있었습니다. STOLEN PENCIL이라 명명 된 이 캠페인의 피해자들 중 상당 수는 다수 대학의 생물 의학 공학 전문가였습니다. 공격자들은 기성 툴을 사용해 지속성을 유지하지만, NetScout에 따르면 이들의 OPSEC은 허술했습니다. “이 공격의 궁극적인 동기는 알 수 없었지만, 공격자들은 크리..

국내외 보안동향 2018. 12. 10. 16:01

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성 매크로가 포함된 수수료 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의▶ Trojan.Agent.Emotet 악성코드 분석 보고서▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성메일은 수수료에 관련된 내용으로, project-agreement 제목의 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. 사용자가 해당 파일을 실행하면 매크로 활성화를 유도하며, 사용자가 매크로 기능을 활성화 ..

악성코드 분석 리포트 2018. 12. 7. 15:16

[12월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]CJ대한통운 고객님상품월요일오후 14~16시 배송예정. 더 자세한것은 2 [Web발신][CJ대한통운]주문하신물품 배송불가.도로명불일치.수정하세요. 3 [Web발신][CJ대한]12/2 운송장번호[301****21]주소지 미확인으로인해 반송처리 주소확인 출처 : 알약M기간 : 2018년 12월 03일 ~ 12월 07일

안전한 PC&모바일 세상/스미싱 알림 2018. 12. 7. 14:50

Botnet of 20,000 WordPress Sites Infecting Other WordPress Sites 20,000개 이상의 워드프레스 사이트들로 이루어진 봇넷이 다른 워드프레스 사이트를 감염시키는 공격에 사용 되고 있는 것으로 나타났습니다. 새로운 사이트들이 해킹 되면, 이 사이트들은 봇넷에 추가 되어 공격자의 명령을 수행하는데 사용 될 수 있습니다. 워드프레스 보안 회사인 Defiant의 새로운 연구에 따르면, 공격자들이 워드프레스 사이트 2만개 이상을 봇넷에 참여 시켜 인터넷에 공개 된 다른 워드프레스 사이트들에 브루트포싱 공격을 가하는 명령어를 실행할 수 있는 것으로 나타났습니다. Defiant는 그들의 브루트포싱 보호 모듈과 IP 블랙리스트를 통해 이 공격자의 인증 시도 5백만 건 ..

국내외 보안동향 2018. 12. 7. 14:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 프린터에서 영문으로 된 이상한 인쇄물들이 출력되어 프린터 해킹이 의심 된다는 제보가 이어지고 있습니다. 인쇄 페이지에는 Printeradvertising.com이라고 불리는 새로운 서비스가 출시되었으며, 이 서비스는 전 세계에 모든 연결된 프린터들에 바이럴 광고가 가능하다고 홍보하고 있습니다. 보안회사 CEO인 Morris는 허니팟을 통해 194.36.173.50 IP 주소에서 적어도 60개 이상의 악의적인 인쇄작업 요청을 감지했다고 밝혔습니다. Bad Packets Report와 Pishing AI‏는 이 IP 주소가 피싱 키트, C2 서버, Lokibot와 같은 악성 프로그램 등의 악성 활동으로 알려진 서브넷에 속한다고 명시하고 있습니..

악성코드 분석 리포트 2018. 12. 6. 17:02

Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formatsSecurity Affairs Palo Alto Networks의 연구원들이 최근 많은 페이로드를 드랍하기 위해 수십여 개의 미끼 파일 포맷을 지원하는 악성코드 드롭퍼인 CARROTBAT을 발견했습니다. CARROTBAT은 2018년 3월 처음 발견 되었지만, 지난 3개월 동안 연구원들은 이 드롭퍼 관련 활동이 급격히 증가한 것을 발견했습니다. CARROTBAT은 대한민국과 북한 지역에 페이로드를 드랍하기 위해 사용 되었습니다. 공격자들은 미끼 문서에 가상화폐, 가상화폐 거래 및 정치 이벤트와 같은 주제를 사용했습니다. 또한 작년 12월, CARROTBAT은..

국내외 보안동향 2018. 12. 6. 15:08

중국 보안업체360은 11월 29일, 2건의 새로운 Flash 0day 취약점 악성파일을 발견하였습니다. 이번 APT 공격은 러시아 또는 우크라이나를 타겟으로 진행된 것으로 추정되고 있습니다. 악성 DOCX 문서파일이 바이러스토탈에 업로드된 곳은 우크라이나 지역이었습니다. [그림 1] 우크라이나에서 보고된 악성 문서파일 실행화면 공격자는 Flash 0-day 취약점이 포함된 Word 파일을 사용자에게 발송하며, 사용자가 해당 파일을 클릭할 경우, 백도어가 실행되며 공격자가 사용자 PC에 원격코드실행이 가능합니다. 악성 워드문서 내부에는 'activeX1.bin' 플래시 파일이 포함되어 있으며, 액션스크립트 바이트 코드 내부에 바이너리 데이터가 포함되어 있습니다. [그림 1-1] 'activeX1.bin'..

악성코드 분석 리포트 2018. 12. 6. 09:08

New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs 새로운 랜섬웨어가 중국에서 급격히 확산 되고 있습니다. 이는 공급망 공격을 통해 지난 4일간 10만대 이상의 컴퓨터를 감염시켰으며, 피해자는 매 시간마다 증가하고 있는 상태입니다. 흥미로운 점은, 다른 랜섬웨어들과는 달리 이 새로운 바이러스는 랜섬머니를 비트코인으로 요구하지 않는다는 것입니다. 대신 공격자들은 피해자들에 WeChat Pay를 통해 110위안(약 18,000원)을 지불하라고 요구합니다. 랜섬웨어 + 패스워드 스틸러 : 지난 해 전세계적으로 큰 혼란을 일으켰던 WannaCry와 NotPetya 랜섬웨어와는 다르게, 이 새로운 중국 랜섬웨어는 중국 사용자만을 대상으로 하고 ..

국내외 보안동향 2018. 12. 6. 08:19