안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. ESRC에서는 2018년 10월 18일 새로운 'KONNI' 캠페인의 활동을 발견했습니다. 'KONNI' 시리즈는 지난 2014년부터 주로 북한관련 내용을 담고 있는 미끼 파일로 유혹하고 있으며, 한국 언론매체를 통해 알려진 기사를 활용하고 있기도 합니다. 해당 위협 그룹은 주로 스피어 피싱(Spear Phishing) 공격을 통해 문서 파일 형태로 위장한 EXE, SCR 실행파일 형식이나 실제 문서파일(DOC 등) 취약점을 활용하기도 합니다. 이번에 새롭게 발견된 최신 'KONNI' 변종은 기존과 유사하게 EXE 악성코드 내부에 2개의 리소스 모듈을 숨기고 있으며, 악성파일 개발에 다음과 같..

악성코드 분석 리포트 2018. 10. 18. 17:25

LibSSH Flaw Allows Hackers to Take Over Servers Without Password SSH(Secure Shell) 구현 라이브러리인 Libssh에서 4년 된 심각한 취약점이 발견 되었습니다. 이 취약점은 패스워드가 없어도 누구나 인증을 완전히 우회하고 취약한 서버를 제한 없이 제어할 수 있도록 허용합니다. CVE-2018-10933로 등록 된 이 보안 취약점은 2014년에 공개 된 Libssh 버전 0.6에서 추가 된 인증 우회 문제로, 지난 4년 동안 수천 대의 기업 서버를 해커에게 오픈한 꼴이 되었습니다. 하지만 놀라기 전에, OpenSSH나 Github의 libssh 구현은 이 취약점에 영향을 받지 않는다는 사실을 참고하시기 바랍니다. 이 취약점은 Libssh의 코..

국내외 보안동향 2018. 10. 18. 14:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 요청 내용의 악성 메일이 지속적으로 발견되어 사용자들의 주의가 필요합니다. 유사한 내용의 악성메일은 올해 3월부터 꾸준히 발견되고 있습니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 상품 구매를 희망하는 내용의 악성 메일 주의 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 ▶ ACE 압축 파일이 첨부된 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 이번에 발견된 악성메일은 견적서 관련 내용으로 유포중에 있으며, 특이한 점은, 이전의 악성메일들과 다르게 수신회사의 도메인 주소를 메일 본문에 첨부해 놓았습니다..

악성코드 분석 리포트 2018. 10. 18. 09:41

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020 구글 크롬, 애플 사파리, 마이크로소프트 엣지, 인터넷 익스플로러, 모질라 파이어폭스를 포함한 모든 메이저 웹 브라우저들이 TLS 1.0 (20년 됨), TLS 1.1 (12년 됨) 통신 암호화 프로토콜에 대한 지원을 곧 종료할 것이라 밝혔습니다. 초기에 SSL(Secure Sockets Layer) 프로토콜로 개발 된 TLS(Transport Layer Security)는 클라이언트와 서버 간의 통신 채널을 보호하고 암호화 하기 위해 사용하는 업데이트 된 암호화 프로토콜입니다. 현재 TLS는 1.0, 1.1, 1.2, 1.3(최신)로 총 4개 버전이 있습니다. 이들 중 구..

국내외 보안동향 2018. 10. 17. 17:40

New Technique Recycles Exploit Chain to Keep Antivirus Silent 사이버 공격자들이 새로운 악성 캠페인에서 일반적인 안티바이러스 제품에 탐지 되지 않으면서 Agent Tesla 인포스틸러를 배포하기 위해 알려진 익스플로잇 체인을 수정한 것으로 나타났습니다. 사이버 범죄자들은 마이크로소프트 워드의 취약점인 CVE-2017-0199와 CVE-2017-11882를 통해 악성 코드 패밀리 다수를 배포하기 위한 인프라를 설정했습니다. 악성코드를 유지시키기 위해 제작 돼 Cisco Talos의 분석가들에 따르면, 이 캠페인은 Agent Tesla, Loki, Gamarue 최소 3개의 페이로드를 드랍합니다. 3개 모두 정보를 훔치며, 이들 중 Loki에만 원격 접근 기능..

국내외 보안동향 2018. 10. 16. 16:46

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 기업의 프로젝트 파일처럼 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ Trojan.Agent.FormBook 악성코드 분석 보고서▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 ‘첨부된 파일 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 메일에 첨부된 파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성..

악성코드 분석 리포트 2018. 10. 15. 15:50

Microsoft Fix for Windows JET Database Bug Not Perfect, Micropatch Available Windows JET 데이터베이스 엔진이 패치 후에도 여전히 원격 코드 실행 버그에 취약한 것으로 나타났습니다.CVE-2018-8423로 등록 된 이 취약점은 9월 20일 대중에 공개 되었습니다. 마이크로소프트가 제대로 된 업데이트를 다시 발행하기 전 까지, 사용자들은 마이크로패치를 임시로 적용해 문제를 해결할 수 있습니다. 이 임시 패치는 0Patch 플랫폼을 통해 무료로 배포 됩니다. 새로운 임시 인메모리 픽스 공개 돼 Acros Security 측에 따르면, 마이크로소프트의 해결책은 완전하지 않으며 문제를 제거하기 보다는 취약점을 제한할 뿐입니다. CEO인 Mit..

국내외 보안동향 2018. 10. 15. 15:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 복수의 애플 아이디 피싱 메일이 국내에 유포되고 있어 사용자들의 주의가 필요합니다. 이 피싱 메일은 Apple Support 및 Apple Care라는 제목으로 유포되고 있으며, 워드 혹은 PDF 파일이 첨부되어 있습니다. 피싱 메일에 첨부되어 파일에는 고화질 촬영 어플이 결제되었다는 내용 혹은 의심스러운 로그인 시도가 포착되어 사용자의 계정 보호를 위해 Apple ID를 잠궈놓았다는 내용 등 사용자의 클릭을 유도하는 내용이 포함되어 있습니다. 하지만 실제 첨부파일 안에 포함되어 있는 하이퍼링크가 정상적으로 동작하지 않아 계정 정보를 입력하는 홈페이지에 정상적으로 접근할 수 없습니다. 이에 아직까지 사용자들의 계정 유출 피해는 없을 것으로 추정..

악성코드 분석 리포트 2018. 10. 15. 09:51