CommonRansom Ransomware Demands RDP Access to Decrypt Files 다소 특별한 요청을 하는 새로운 랜섬웨어인 CommonRansom이 발견 되었습니다. 이들은 파일을 복호화 하고자 하는 피해자에게 지불을 받은 후 해당 컴퓨터의 원격 데스크탑 서비스(RDP)를 오픈하고 어드민 크리덴셜을 보내도록 요구합니다. CommonRansom은 피해자가 랜섬노트와 암호화 된 파일을 ID Ransomware 서비스에 업로드 한 후, 보안 연구원인 Michael Gillespie가 발견했습니다. 이는 피해자의 파일을 암호화한 후 [old@nuke.africa].CommonRansom 확장자를 붙입니다. 이후 DECRYPTING.txt라는 랜섬노트를 생성합니다. 내용은 아래와 같습니..

국내외 보안동향 2018. 10. 31. 16:38

メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも 일본 IPA는 'wiz' 확장자를 가진 파일을 이용한 공격 방법에 대해 주의를 당부하였습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 그렇기 때문에 일반적으로는 위험하지 않지만, 만약 사용자가 파일을 실행한 후 제한된보기를 해제하게 되면 악성 매크로가 동작하면서 악성코드에 감염될 가능성이 높아지게 됩니다. 이미 IPA는 이 파일이 첨부파일을 통해 유포되고 있는 사실을 확인하였습니다. 악성 이메일에 첨부되어있는 악성코드는 다운로더로, 실행되면 추가로 ..

국내외 보안동향 2018. 10. 30. 16:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 관련 내용의 악성 메일이 또 다시 발견되었습니다. 이번에 발견된 악성 메일들은 다양한 형태로 작성되어 유포되었으나, 내용은 모두 견적서 메일로 위장하고 있습니다. [그림 1] 다양한 형태의 견적서 악성메일 첨부되어 있는 zip 혹은 ace 파일에는 악성 exe 파일들이 포함되어 있으며, 일부의 경우 doc 파일들도 포함되어 있습니다. [그림 2] 악성메일에 포함된 첨부파일 악성 메일들의 내용이나 첨부 파일들의 형태는 각기 달랐지만, 실제 분석해본 결과 C&C 정보와 드롭되는 파일 이름만 다른 동일한 코드임이 확인되었습니다. 사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고,..

악성코드 분석 리포트 2018. 10. 30. 14:47

New Privilege Escalation Flaw Affects Most Linux Distributions 인도의 한 보안 연구원이 X.Org 서버 패키지에서 OpenBSD 및 Debian, Ubuntu, CentOS, Red Hat, Fedora를 포함한 대부분의 리눅스 배포판에 영향을 미치는 치명적인 결점을 발견했습니다. Xorg X 서버는 인기있는 X11 시스템의(디스플레이 서버) 오픈소스 구현으로, 광범위한 하드웨어 및 OS 플랫폼에 그래픽 환경을 제공합니다. 이는 그래픽 디스플레이 관리를 위해 클라이언트와 사용자 어플리케이션 간의 중개자 역할을 합니다. 소프트웨어 보안 연구원인 Narendra Shinde의 블로그 포스팅에 따르면, Xorg X 서버는 적어도 두 개의 명령어 라인 파라미터의..

국내외 보안동향 2018. 10. 30. 10:01

사이버 위협, 그리고 보안 패러다임의 변화 사이버 위협은 점차 다양한 방식으로 그리고 고도화된 방법으로 계속되고 있습니다. 무엇보다 공격자들은 단순 공격을 위한 공격이 아닌, 일종의 목표와 방향을 가진 끈질긴 공격을 수행하고 있습니다. 공격의 배후에는 분명 인간이 존재하긴 하나, 과거와 달리 공격자들은 더이상 한 개인이 아닌 단일 목표로 움직이는 전문적인 집단입니다. 때문에 복잡한 대규모 사이버 위협의 대응이 쉽지 않아진 것이 사실이지만, 그 시발점은 분명 악성코드라는 점은 간과할 수 없는 부분입니다. 현재 주목해야 할 부분은 '알려지지 않은 위협'이며, 기존의 수동적인 탐지와 대응만으론 알려지지 않은 위협의 존재 여부조차 알아내기 어렵다는 것은 누구나 동의하는 사실이 되었습니다. 이에따라 전세계적으로 ..

전문가 기고 2018. 10. 29. 21:30

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다. 파일들을 암호화..

악성코드 분석 리포트 2018. 10. 29. 19:00

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악성코드 감염 내용으로 사용자를 협박하여 비트코인을 요구하는 혹스(Hoax)메일이 유포되고 있어 사용자들의 주의가 필요합니다. ※ 관련글보기▶ 불특정 다수에게 유포되고 있는 혹스(Hoax) 메일 주의!▶ 계속 진화중인 혹스(Hoax) 메일의 변종들▶ 국내 유포중인 혹스(Hoax) 메일, 일본에서도 유포중! 이번에 유포된 혹스메일은 '사용자 이메일주소 is compromised. password must be changed'라는 제목으로 유포되고 있습니다. 내용은 유출된 사용자의 계정정보를 통하여 사용자 PC에 악성코드 감염시켰으며, 사용자의 은밀한 행위를 캡쳐화면으로 저장해 놓고 있다고 밝히고 있습니다. 또한 이 캡쳐화면을 사용자 지인들에게 유포..

악성코드 분석 리포트 2018. 10. 29. 10:33

[10월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신]초등하교 때 배운 더하기가 얼마나 따뜩한 건지 알게 해준 사람을 만났습니다.부부라는 이름으로 시작하는 저희 곁에서 아껴주셨던 고마운 분들을 모십니다.기쁨으로 곱해지고 사랑으로 나눠지는 자리를 준비합니다.함께 자리하여 축복해 주시면 더없는 기쁨이겠습니다.Marid Blanc마리드블랑 2 [Web발신]서로를 모르고 살아온 날보다 앞으로 함께 살아갈 날이 훨씬 많다는 사실이 행복합니다.서로를 영원히 귀히 여기겠습니다.바쁘시더라도 부디 오셔서 그 첫 시작의 자리에 함..

안전한 PC&모바일 세상/스미싱 알림 2018. 10. 26. 17:29