안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근, 국내 시중 은행의 이름을 도용한 PDF 첨부파일 이미지가 포함된 계정 탈취 목적의 악성 메일이 특정 기업에서 발송한 것처럼 사칭해 국내에 유포되고 있어 주의를 당부드립니다. 이번 메일은 '송장 지급 유월 2018 KRW12,450,804' 제목으로 상품 운송장인 것처럼 위장하였습니다. 이번 이메일에서는 제목에 '6월' 대신 한글 '유월'로 적어 한국인이 보낸 것처럼 보이려고 한 점이 특징입니다. [그림 1] 상품 운송장으로 위장한 악성 메일 메일에 첨부 파일은 존재하지 않지만, '첨부 파일 다운로드'로 위장한 이미지로 피싱 사이트 접속을 유도합니다. 다음은 피싱 사이트 접속을 유도하는 이미지 화면입니다. [그림 2] '첨부 파일 다운로드..

악성코드 분석 리포트 2018. 6. 15. 09:31

PyRoMineIoT spreads via EternalRomance exploit and targets targets IoT devices in Iran and Saudi Arabia 연구원들이 확산을 위해 NSA와 관련 된 EternalRomance 익스플로잇을 악용하는 새로운 가상화폐 채굴 변종인 PyRoMineIoT를 발견했습니다. PyRoMineIoT는 몇 주 전 발견 된 PyRoMine이라는 가상화폐 채굴기와 꽤 유사합니다. 이는 4월달에 감염이 급증 하였고, 대부분이 가포르, 인도, 대만, 코트 디부 아르, 호주에서 발견 되었습니다. 연구원들에 따르면, 구 버전의 채굴기는 난독화 기능을 추가해 더욱 개선되었습니다. 최신 PyRoMine은 동일한 IP주소인 212[.]83.190[.]122에서..

국내외 보안동향 2018. 6. 14. 14:18

Malspam Campaigns Using IQY Attachments to Bypass AV Filters and Install RATs Necurs 배포하는 것 등의 악성 스팸 캠페인이 안티바이러스 및 메일 필터를 우회하는 새로운 첨부파일 타입을 활용하고 있습니다. 이 IQY 첨부파일들은 Excel Web Query 파일이며, 오픈 될 경우 외부 소스로부터 데이터를 가져오려고 시도합니다. 문제는 스프레드 시트가 가져오는 외부 데이터는 엑셀에서 실행할 수 있는 수식이 될 수 있다는 것입니다. 이 수식은 컴퓨터에 악성코드를 다운로드 하고 설치하는 PowerShell 스크립트를 로컬에서 실행하는데 사용될 수 있습니다. IQY 첨부파일을 사용하는 악성 스팸 캠페인 3개 발견 연구원들은 IQY 첨부파일을 사용..

국내외 보안동향 2018. 6. 12. 11:42

Prowli Malware Targeting Servers, Routers, and IoT Devices 대규모 VPNFilter 악성코드 봇넷이 발견 된 후, 연구원들은 전 세계 4만대 이상의 서버, 모뎀, IoT 기기들을 이미 손상시킨 또 다른 대규모 봇넷을 발견했습니다. Operation Prowli라 명명 된 이 캠페인은 익스플로잇 악용, 패스워드 브루트포싱, 취약한 구성 악용 등 다양한 기술을 사용해 전 세계 서버 및 웹사이트의 제어권을 탈취하기 위해 악성코드를 배포하고 주입합니다. Operation Prowli는 이미 금융, 교육, 정부 기관 등을 포함한 기업 9,000개 이상의 기기 4만 여대를 공격했습니다. Prowli 악성코드에 감염 된 기기 및 서비스 목록은 아래와 같습니다: 인기 있는..

국내외 보안동향 2018. 6. 11. 09:27

IE Zero-Day Adopted by RIG Exploit Kit After Publication of PoC Code 지난 달 발견 된 인터넷 익스플로러의 제로데이 취약점이 RIG 익스플로잇 키트에 추가된 것으로 나타났습니다. RIG 익스플로잇 키트는 악성코드 제작자들이 사이트의 방문자들을 악성코드에 감염시키기 위해 사용하는 웹 기반 툴킷입니다. 문제의 취약점은 CVE-2018-8174입니다. 이 취약점은 인터넷 익스플로러와 마이크로소프트 오피스에 포함 된 비쥬얼 베이직 스크립팅 엔진인 VBScript에 영향을 미칩니다. 지난 4월 20일, 한 보안 업체는 사이버 스파잉 그룹이 이 취약점을 악용해 인터넷 익스플로러를 통해 사용자들을 감염시키고 있다는 사실을 발견했습니다. 추후 이 공격은 북한의 지원..

국내외 보안동향 2018. 6. 8. 17:25

'Zip Slip' Vulnerability Affects Thousands of Projects Across Many Ecosystems 보안 연구원들이 수 천개의 프로젝트들에 영향을 미치는 치명적인 취약점과 관련 된 자세한 정보를 공개했습니다. 공격자가 이 취약점을 악용할 경우, 타겟 시스템에서 코드를 실행할 수 있는 것으로 나타났습니다. “Zip Slip”이라 명명 된 이 문제는 압축 파일의 압축을 해제할 때 디렉토리 탐색(Directory traversal) 공격을 통해 촉발 되는 임의 파일 덮어쓰기 취약점이며 tar, jar, war, cpio, apk, rar, 7z를 포함한 많은 압축 포맷에 영향을 미칩니다. JavaScript, Ruby, Java, .NET, Go 등의 다양한 프로그래밍 ..

국내외 보안동향 2018. 6. 7. 14:18

Ticketfly website hacked & offline after hacker leaks customer data 티켓 발행 서비스인 Ticketfly의 웹사이트가 해킹 및 손상 되었습니다. 이 회사는 공식 트위터 계정을 통해 해킹 사실을 인정했습니다. 이 웹사이트는 “IsHaKdZ”라는 이름을 사용하는 해커가 공격하였으며, 해커는 사이트에 아래와 같은 메시지를 표시했습니다. “Ticketfly HacKeD By IsHaKdZ. Your Security Down I’m Not Sorry. Next time I will publish database ‘backstage’ (sic).” 또한 이 해커는 유출한 Ticketfly 직원의 이름, 주소, 이메일 주소, 연락처 등 개인 정보를 또 다른 곳에 ..

국내외 보안동향 2018. 6. 5. 17:18

Sigrun Ransomware Author Decrypting Russian Victims for Free Sigrun 랜섬웨어는 일반적으로 피해자들에게 랜섬머니로 약 $2,500 상당의 비트코인이나 Dash를 요구하지만 러시아 피해자들에게는 무료로 복호화를 지원해 주는 것으로 확인되었습니다. 러시아의 랜섬웨어 개발자들이 러시아 시민들을 공격 대상에서 제외하는 것은 꽤 흔히 일어나는 일입니다. 한 연구원은 미국의 피해자 및 러시아의 피해자가 악성코드 제작자에게 이메일을 보내 받은 답장을 공개했습니다. Sigrun은 랜섬웨어가 실행될 때 키보드 레이아웃을 탐지해 러시아 피해자들을 감염시키는 것을 피하려 시도합니다. 러시아어 레이아웃을 발견할 경우, 컴퓨터를 더 이상 암호화 하지 않고 자기 자신을 삭제합니..

국내외 보안동향 2018. 6. 5. 11:28