안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있습니다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있습니다. '11월 15일에는 장윤성 입사지원서를 위장'해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, '19일에는 박혜윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크'로 유포했습니다. [그림 1] 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면 MS Word 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범..

악성코드 분석 리포트 2018. 11. 20. 19:13

0-Days Found in iPhone X, Samsung Galaxy S9, Xiaomi Mi6 Phones 11월 13일 ~ 14일 도쿄에서 개최 된 Pwn2Own 2018 모바일 해킹 대회에서, 화이트 해커들이 최신 버전 소프트웨어를 사용하는 인기있는 스마트폰들도 해킹 될 수 있다는 것을 보여주었습니다. 성공적으로 해킹 된 기기에는 iPhone X, 삼성 갤럭시 S9, 샤오미 Mi6도 포함 되어 있었습니다. 화이트 해커들은 총 $325,000를 상금으로 수령했습니다. 서로 다른 국가, 서로 다른 사이버 보안 회사에서 참여한 해커 팀들이 애플, 삼성, 샤오미가 제조한 모바일 기기에서 제로데이 취약점 총 18개, 타겟 기기를 완전히 제어할 수 있는 익스플로잇을 공개하였습니다. iOS 12.1을 사용하..

국내외 보안동향 2018. 11. 20. 09:28

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다. 동일한 조직이 지난 주말부터 한국에서 개발된 'Berryz WebShare (베리즈 웹쉐어)' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있어 각별한 주의가 요망됩니다. [그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면 ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고..

악성코드 분석 리포트 2018. 11. 19. 13:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다. 본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다. [그림 1] 피싱 사이트가 포한 된 메일 본문 사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다. [그림 2] 다음 메일 피싱 사이트 사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 제작자에게 넘어가게 됩니다. [그림 3] 사용자 계정정보 전송 화면 본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하..

악성코드 분석 리포트 2018. 11. 19. 11:45

New Strain of Olympic Destroyer Droppers 지난 몇 주 동안, 우리는 악명 높은 올림픽 디스트로이어(Olympic Destroyer) 공격의 배후에 있는 APT 그룹인 Hades의 새로운 활동을 발견했습니다. 게다가 새로운 공격은 이전 공격들과 많은 부분을 공유하지만, 해당 그룹이 진화했다는 것을 알 수 있는 중요한 변화를 목격할 수 있었습니다. 우리는 발견한 샘플을 통해 이 그룹이 다양한 분야를 연구했으며 연구원들이 공격을 탐지하기 어렵도록 만들기 위해 노력하고 있다는 것을 알 수 있었습니다. 시작 2018년 한국에서 개최된 동계 올림픽을 노린 사이버 공격은 짧은 시간 동안 이 행사의 IT 인프라를 방해했습니다. 하지만 이는 많은 언론의 헤드라인을 장식했으며, 보안 커뮤니..

국내외 보안동향 2018. 11. 16. 18:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ Trojan.Agent.Emotet 악성코드 분석 보고서 ▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요 ▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의 ▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의 이번에 발견된 악성 메일은 ‘INVOICE #00U9404’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of your latest invoice’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 이용자가 첨부 파일 ‘Invoic..

악성코드 분석 리포트 2018. 11. 16. 17:04

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 '금성121(Geumseong121)' 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이 있습니다. 지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다. 그리고 0..

악성코드 분석 리포트 2018. 11. 16. 15:45

[11월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다 2 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소: 3 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경 4 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오. 출처 : 알약M기간 : 2018년 11월 12일 ~ 11월 16일

안전한 PC&모바일 세상/스미싱 알림 2018. 11. 16. 10:46