안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다. 지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다. 그리고 0..

악성코드 분석 리포트 2018. 11. 16. 15:45

[11월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다 2 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소: 3 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경 4 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오. 출처 : 알약M기간 : 2018년 11월 12일 ~ 11월 16일

안전한 PC&모바일 세상/스미싱 알림 2018. 11. 16. 10:46

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다. 추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다. [그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면 한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다. 해당 위협그룹은 기존 비..

악성코드 분석 리포트 2018. 11. 15. 18:31

안녕하세요. 이스트시큐리티입니다. 알약M 2.1.0.3 최신 버전 업데이트 후, 갑자기 생겨난 빠른 실행바에 놀라셨나요? 빠른 실행바가 필요하지 않아 OFF로 설정을 해두었는데, 다시 생겨난 빠른 실행바가 반갑지만은 않으셨을 텐데요ㅠㅠ 알약M 최신 버전 업데이트 이후, 왜 빠른 실행바가 다시 나타났는지 안내해 드리겠습니다. Android OS 8.0 이상의 알약M 사용자에게 안내해 드립니다! 그 전에, 알약의 기본 동작에 대해 잠시 말씀드릴 필요가 있는데요! 알약은 실시간으로 악성코드를 탐지하기 위해 필요에 따라 스마트폰의 백그라운드에서도 동작하고 있습니다. 그런데, 구글에서 Android 8.0부터 백그라운드 실행 제한 정책을 추가했습니다. 백그라운드 실행 제한 정책이란, 안드로이드의 백그라운드에서 실..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 11. 15. 17:28

7 New Meltdown and Spectre-type CPU Flaws Affect Intel, AMD, ARM CPUs 올해 초, 매우 민감한 정보에 접근하기 위해 추측 실행 공격이 쉽게 악용될 수 있다는 것을 입증한, 수 많은 최신 프로세스들에 영향을 미친 Meltdown과 Spectre 취약점이 발견 되었습니다. 이후 Spectre-NG, SpectreRSB, Spectre 1.1, Spectre1.2, TLBleed, Lazy FP, NetSpectre, Foreshadow등 추측 실행 공격의 수 많은 변종들이 발견 되었습니다. 이에 영향을 받은 제조사들은 수시로 패치를 발행했습니다. 오리지널 Meltdown과 Spectre 취약점을 발견한 사이버 보안 연구원 팀이 새로운 일시적 실행 공격(t..

국내외 보안동향 2018. 11. 15. 16:13

2018년 11월, 화이트 해커들은 9월에 패치되었던 Adobe ColdFusion 서버 임의 파일 업로드 취약점(CVE-2018-15961)의 이용 흔적을 발견했으며, 해커들은 해당 취약점을 악용하여 jsp 스크립트 파일을 업로드하여 원격에서 명령을 실행하였다고 밝혔습니다. 또한 테스트를 진행해본 결과, 악성코드 스크립트들은 모두 system 권한으로 실행되며, 이로서 서버가 완전히 해커에게 장악되며 봇넷이나 마이닝에 악용될 가능성도 존재합니다. Adobe ColdFusion에서는 몇 년 동안 끊임없이 고위험 취약점들이 발생하였으며, 이 취약점들은 모두 역직렬화 혹은 임의 명령 실행 취약점들이였습니다. 이번 패치에 대해 전 세계 사용자들의 관심이 쏠리고 있으며, 전체 프로세스에 대한 보안 수준 향상에 ..

국내외 보안동향 2018. 11. 15. 10:15

Google Services down due to BGP leak, traffic hijacked through Russia, China, and Nigeria 지난 월요일 BGP 유출로 인해 구글 서비스가 이용이 불가능한 상태가 되었습니다. 해당 트래픽은 러시아, 중국 및 나이지리아를 통해 리디렉트 되었습니다. 이 사고의 원인이 단순한 오류 때문인지, 아니면 BGP 프로토콜에 대한 사이버 공격 때문인지는 아직까지 확인 되지 않았습니다. BGP 하이재킹이라고도 알려진 경로 하이재킹은 IP 주소 그룹의 라우팅 테이블이 의도적으로, 또는 실수로 손상 된 경우 발생합니다. 최근 보안 연구원인 Chris C. Demchak와 Yuval Shavitt는 지난 몇 년 동안 차이나 텔레콤이 인터넷 트래픽이 중국을 지..

국내외 보안동향 2018. 11. 14. 16:50

Hacking the hackers – IOT botnet author adds his own backdoor on top of a ZTE router backdoor 해킹 초보들이 ZTE 라우터를 해킹하는데 제조사의 백도어 계정을 사용하는 IoT 익스플로잇 스크립트를 사용하고 있는 것으로 나타났습니다. 하지만, 이 백도어는 해당 스크립트의 유일한 백도어가 아니었습니다. 이 코드를 배포하는 Scarface는 이 스크립트를 사용할 해킹 초보들을 해킹하는데 사용할 또 다른 커스텀 백도어를 추가했습니다. IoT 봇넷계에서 유명한 Paras, Nexus, Wicked는 현재 활성화 되지 않은 상태이며, Scarface/Faraday라는 이름들이 해킹 초보들에게 IoT 봇넷 코드를 무기화 된 익스플로잇과 함께 판..

국내외 보안동향 2018. 11. 14. 10:22