GoScanSSH Malware spread avoiding Government and Military networks 보안 전문가들이 온라인에 노출 된 SSH 서버를 손상시키는 새로운 악성코드인 GoScanSSH를 발견했습니다. 이 악성코드는 악성 프로그램에는 잘 사용 되지 않는 Go 프로그래밍 언어를 사용해 개발되었으며, 정부 및 군사 네트워크는 감염시키지 않는 등의 다양한 기능이 구현되어 있습니다. 공격자들은 감염 된 시스템마다 고유한 악성코드를 생성했습니다. 또한 GoScanSSH의 C&C 인프라는 Tor2Web 프록시 서비스를 사용해 서버 추적을 어렵게 하고 사용이 중단 되더라도 복원이 쉽도록 했습니다. GoScanSSH는 공개적으로 접근 가능하고 패스워드 기반의 SSH 인증이 가능한 SSH 서..

국내외 보안동향 2018. 3. 28. 14:56

A new massive cryptomining campaign target Linux servers exploiting old flaw 연구원들이 Cacti의 Network Weathermap 플러그인에 존재하는 CVE-2013-2618 취약점을 악용해 리눅스 서버를 공격하는 새로운 가상 화폐 채굴 캠페인을 발견했습니다. 이 플러그인은 시스템 관리자들이 네트워크 활동을 확인하기 위해 주로 사용합니다. 사이버 범죄자들은 취약한 리눅스 서버들에 모네로 채굴기를 설치해 약 $75,000의 수익을 올렸습니다. 연구원들은 공격자들이 오래 된 보안 결점을 악용한 이유에 대해 “지금까지 공개 된 Network Weathermap의 취약점은 2014년 6월에 발견 된 취약점 단 2개입니다. 공격자들은 이 취약점의 악..

국내외 보안동향 2018. 3. 27. 15:43

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 실제로 존재하는 디자이너 명의를 사칭한 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부드립니다. 관련글 보기 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭에 한국..

악성코드 분석 리포트 2018. 3. 27. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 이번에는 제트캐시를 요구 하는 랜섬웨어가 발견되어 사용자들의 주의를 당부 드립니다. 해당 타나토스 랜섬웨어는 0.1 제트 캐시 (현재 시세: 한화 26,700원)을 요구하는 특징을 가지고 있습니다. 이 공격 그룹은 이전에는 비트코인 캐시를 요구하기도 하였습니다. [그림 1] 랜섬노트 화면 기존 지갑 주소 현재 지갑 주소 BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9EhETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03efBCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f ZEC: t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ 기존 사용한 이메..

악성코드 분석 리포트 2018. 3. 26. 16:23

안녕하세요? 이스트시큐리티입니다. 매월이 끝나갈 때쯤, 휴대폰 요금제 데이터가 얼마나 남았는지 확인하고 혹여나 더 쓰게 될까 봐 마음을 졸이시는 분들이 많으실 텐데요. 이 걱정을 덜어줄 '공공 와이파이(Wi-Fi)' 서비스를 소개해드리고자 합니다. 공공 와이파이는 전국에 12,300개소(2016년 기준)가 구축 및 개방되어 있다고 하는데요. 이번 TIP을 통해 평소에 잘 알려져 있지 않았던 주변 공공 와이파이를 적극 활용해 보시는 건 어떨까요? ^^ '공공 와이파이'란? 공공 와이파이는 서민, 정보소외 계층의 통신복지를 위하여 이동통신 3사(KT, SKT, LGU+) 및 각 지자체의 협조를 받아 주민센터, 복지시설, 전통시장 등 국민들이 자주 이용하는 공공장소에서 무료로 이용할 수 있는 와이파이(Wi-F..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 3. 26. 14:55

Facebook Collected Call and SMS Metadata From Some Users Smartphones 페이스북 데이터 아카이브를 다운로드한 일부 페이스북 사용자들이 사용 중인 모바일 페이스북 어플리케이션이 사용자의 정보를 꽤 많이 수집하고 있었던 것으로 나타났습니다. 기록 된 정보에는 기기의 모든 전화 통화 내역, 각각의 통화 시작 시간, 통화 시간, 연락처 이름이 포함되어 있었습니다. 하지만 페이스북 앱은 기기의 주소록에 저장 되지 않은 번호와의 전화 내역은기록하지 않았습니다. 또한 연락처 목록에 포함 된 번호와 주고 받은 SMS 메시지들의 정보도 수집했습니다. 하지만 SMS에포함 된 내용은 기록하지 않았습니다. 트위터, 레딧, 해커뉴스의 몇몇 유저들이 오늘 아침 페이스북이 기기 ..

국내외 보안동향 2018. 3. 26. 14:46

안녕하세요? 이스트시큐리티입니다. 지난 2016년 10월 21일 보안이 취약한 IoT기기들이 미라이 악성코드에 감염되어 DDoS공격에 활용되었습니다. 이 미라이 코드의 소스가 공개되었고, 2018년 1월 31일부터 이를 활용한 안드로이드 악성코드가 등장하였습니다. 미라이 악성코드와 마찬가지로 웜 형태로 스스로 전파되며 안드로이드 OS의 ADB (Android Debug Bridge) 인터페이스를 이용합니다. 감염된 기기들은 모네로 채굴에 이용됩니다. 본 분석 보고서에서는 “ADB.miner”를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 최초 파일 실행 최초 파일인 sss파일을 실행하면 암호화된 bot.dat을 복호화하고, 복호화된 bot.dat은 nohup, xmrig32/64, droidbot..

악성코드 분석 리포트 2018. 3. 23. 15:55

City of Atlanta IT Systems Hit by SamSam Ransomware 조지아주의 아틀란타 시장이 금일 기자회견에서 지방 정부 시스템 몇 곳이 랜섬웨어 감염으로 인해 중단 되었다고 밝혔습니다. 시 당국은 해당 랜섬웨어 감염이 현지 시간으로 금일 아침 5:40에 이루어진 것으로 보인다고 밝혔습니다. 일부 시스템은 다운 되었지만, 주요 서비스들은 계속 운행 중 아틀란타 시의 COO인 Richard Cox는 감염 사고로 인해 내부 프로그램들 및 주민들이 세금을 내거나 법원 문서에 접근하는데 사용하는 온라인 시스템과 같은 고객 응대 프로그램들 다수가 영향을 받았다고 밝혔습니다. 또한 그는 이 감염으로 인해 시의 수도, 지역 공항, 공공 안전 시스템과 같은 중요한 인프라는 영향을 받지 않았다..

국내외 보안동향 2018. 3. 23. 15:33