GnuPG Flaw in Encryption Tools Lets Attackers Spoof Anyone's Signature 한 보안 연구원이 세계에서 가장 널리 사용 되는 이메일 암호화 클라이언트에서 심각한 취약점을 발견했습니다. 이는 OpenPGP 표준을 사용하고, 메시지 암호화 및 디지털 서명을 위해 GnuPG를 사용합니다. 이는 연구원들이 PGP 및 S/Mime 암호화 툴에 존재하는 eFail이라는 결점을 발견한 지 약 1달 후 공개 되었습니다. 공격자들이 이를 악용할 경우 암호화 된 이메일을 순수 텍스트 형태로 사용할 수 있으며, Thunderbird, Apple Mail, Outlook을 포함한 다양한 이메일 프로그램에 영향을 미칩니다. 소프트웨어 개발자인 Marcus Brinkmann은 공..

국내외 보안동향 2018. 6. 19. 13:31

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 우여곡절 끝에 북미 정상회담이 이루어졌지만 보이지 않는 사이버 첩보전은 계속되었습니다. 실제로 ESRC는 현재 북한과 미국의 정세를 이용한 “미북 정상회담 전망 및 대비.hwp”제목으로 위장한 악성 파일을 포착하였습니다. 해당 파일은 북미 정상회담이 이루어지기 전인 “2018-05-30”에 제작되어 공격이 시도된 것으로 보여집니다. [그림 1] “미북 정상회담 전망 및 대비.hwp” 화면 공격자는 악성코드의 감염 사실을 사용자로부터 은폐하기 위하여 hwp취약점을 이용하여 정상 프로세스인 iexplore.exe에 악성코드를 인젝션하였습니다. [그림 2] hwp내부 삽입된 Post Script 해당 코드는 C&C서버로부터 악성코드 다운로..

악성코드 분석 리포트 2018. 6. 19. 13:14

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 지속적으로 상품 관련 내용으로 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 상품 출고 지연 내용과 함께 선적 서류로 위장한 첨부 파일 실행을 유도하는 내용을 담고 있습니다. [그림 1] 상품 출고 지연 내용의 악성 메일 첨부파일에는 악성 실행 파일 'Shipping Documents.exe'가 있습니다. [그림 2] 첨부파일 'Shipping Documents.rar' 이용자가 파일 이름만 보고 선적 관련 서류라고 생각해서, 파일을 실행할 경우 악성코드가 실행됩니다. 'Shipping Documents.exe'는 .NET로 제작되어 있으며, 자기 자신을 자식 프로세스로 실행한 뒤, 정보 탈취 기능을 수..

악성코드 분석 리포트 2018. 6. 18. 16:36

New MysteryBot Android Malware Packs a Banking Trojan, Keylogger, and Ransomware 사이버 범죄자들이 현재 안드로이드 기기를 노리는 새로운 악성코드 변종을 개발 중인 것으로 나타났습니다. 이 악성코드는 뱅킹 트로이목마, 키로거, 모바일 랜섬웨어를 포함합니다. MysteryBot이라 명명 된 이 악성코드는 아직 개발 중인 것으로 보입니다. MysteryBot, LokiBot과 관련 있어 연구원들은 MysteryBot이 잘 알려진 LokiBot 안드로이드 뱅킹 트로이목마와 관련 있는 것으로 보인다고 밝혔습니다. 연구원들은 “트로이목마 코드 두 개를 분석한 결과, 우리는 LokiBot과 MysteryBot의 제작자들이 관련이 있을 것으로 추측했습니다..

국내외 보안동향 2018. 6. 18. 10:09

New 'Lazy FP State Restore' Vulnerability Found in All Modern Intel CPUs Specter과 Meltdown과 같이 프로세서의 추측 실행 기술에 영향을 미치는 또 다른 보안 취약점이 인텔의 칩에서 발견 되었습니다. 이는 암호화 관련 데이터를 포함한 민감 정보에 접근하는데 악용될 수 있습니다. Lazy FP State Restore라 명명 된 이 취약점 (CVE-2018-3665)은 Intel Core 및 Xeon 프로세서에 존재하며, 인텔은 이 취약점을 확인했습니다. 벤더들은 취약점을 수정해 사용자들을 보호하기 위한 보안 업데이트를 발표하기 위해 서두르고 있습니다. 이 취약점에 대한 기술적인 세부사항은 아직까지 공개 되지 않았지만, 이 취약점은 CPU..

국내외 보안동향 2018. 6. 15. 14:14

[6월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] ♡귀한 발걸음으로 축복해 주세요. ♡ 2018.6.232 [Web발신] ♡우리가 나아가는 길믿음으로 지켜봐 주세요. ♡ 2018.6.16 출처 : 알약M기간 : 2018년 6월 9일 ~ 6월 15일

안전한 PC&모바일 세상/스미싱 알림 2018. 6. 15. 13:57

[6월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] ♡저희 이제 행복으로 함께 가겠습니다. ♡2 [Web발신] ♡저희 시작에 함께해주시기 바랍니다. ♡ 2018.6.16 출처 : 알약M기간 : 2018년 6월 2일 ~ 6월 8일

안전한 PC&모바일 세상/스미싱 알림 2018. 6. 15. 13:54

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근, 국내 시중 은행의 이름을 도용한 PDF 첨부파일 이미지가 포함된 계정 탈취 목적의 악성 메일이 특정 기업에서 발송한 것처럼 사칭해 국내에 유포되고 있어 주의를 당부드립니다. 이번 메일은 '송장 지급 유월 2018 KRW12,450,804' 제목으로 상품 운송장인 것처럼 위장하였습니다. 이번 이메일에서는 제목에 '6월' 대신 한글 '유월'로 적어 한국인이 보낸 것처럼 보이려고 한 점이 특징입니다. [그림 1] 상품 운송장으로 위장한 악성 메일 메일에 첨부 파일은 존재하지 않지만, '첨부 파일 다운로드'로 위장한 이미지로 피싱 사이트 접속을 유도합니다. 다음은 피싱 사이트 접속을 유도하는 이미지 화면입니다. [그림 2] '첨부 파일 다운로드..

악성코드 분석 리포트 2018. 6. 15. 09:31