防衛省OBらに標的型ウイルスメール、中国ハッカー集団関与か 情報流出の恐れ 작년 11월 하순부터 올해 3월 중순에 걸쳐서 방위성 OB와 해양 정책에 관련된 관계자들을 대상으로 내각부와 방위성의 직원을 가장한 악성 메일이 계속해서 수신되고 있다는 사실이 확인되었습니다. 이렇게 수신된 악성 메일들은 수백 통에 이르며, 이 스피어 피싱 배후에는 중국의 해커 그룹이 있을 것으로 추정되고 있습니다. 스피어피싱 메일에 첨부된 악성코드는 사용자 PC 내 정보를 불법으로 유출 시키는 기능을 갖고 있으며, 악성메일 수신자들의 일부가 첨부 파일을 열어본 것으로 추정하고 있습니다. 이에 기밀 정보가 유출되었을 가능성도 있습니다. 다음은 유포되고 있는 스피어피싱 이메일 중 하나 입니다. 일본의 보안 기업인 '라크'의 조사 결과, 이..

국내외 보안동향 2018. 4. 17. 14:48

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내 이용자를 대상으로 악성 메일을 통해 클립보드에 복사된 가상화폐 지갑 주소를 공격자의 지갑 주소로 바꿔치기하는 악성코드가 유포되고 있어 주의를 당부 드립니다. 이번에 발견된 악성 메일은 '서류를 확인하다' 제목으로 첨부 파일 실행을 유도합니다. [그림 1] 악성 메일 화면 첨부파일 'Mou & Invoice Files.zip'에는 IBRD(국제부흥개발은행)의 구제금융 관련 내용이 담긴 'International Bank for Reconstructure and Development(IBRD).pdf'과 'BTC file.exe' 악성코드가 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 호기심이나 메일 제목에 현혹되어 '..

악성코드 분석 리포트 2018. 4. 17. 13:55

Cybercriminals Hijack Router DNS to Distribute Android Banking Trojan 보안 연구원들이 현재 진행중인 악성코드 캠페인에 대해 경고했습니다. 이 캠페인은 사용자의 중요한 정보, 로그인 계정, 이중 인증을 위한 비밀 코드를 훔치는 안드로이드 뱅킹 악성코드를 배포하기 위해 인터넷 라우터를 하이잭 하는 것으로 나타났습니다. 사용자들이 Roaming Mantis라 명명 된 안드로이드 악성코드를 설치하도록 속이기 위해, 해커들은 취약하거나 보안이 허술한 라우터의 DNS 세팅을 하이잭 해 온 것으로 드러났습니다. 해커들은 DNS 하이재킹 공격을 통해 트래픽에 인터셉트하고, 웹 페이지에 악성 광고를 삽입하고 사용자들을 로그인 계정, 은행 계좌 정보 등과 같은 중요한..

국내외 보안동향 2018. 4. 17. 11:50

캘리포니아에 본사를 두고있는 웹사이트 보안업체인 Sucuri가 대규모의 DDoS 공격을 받았습니다. 이번 공격으로 인해 서유럽, 남아프리카 및 일부 미국 동부지역에 서비스 중단이 발생하였습니다. 공격자는 4월 12일 오후 11시(PST) 경부터 DDOS 공격을 시작하였으며, Sucuri는 Tier1과 함께 협력하여 공격을 완화 시켰습니다. Sucuri 대변인은 "이번 공격은 우리들의 일부 포트의 용량과 거의 비슷하여 대기 시간과 패킷 손실이 매우 크게 발생하는 원인이 되었으며, 일부 지역에서는 대기 시간과 패킷 손실이 발생했다"고 밝혔습니다. 또한 "고객들이 업데이트 상태를 확인할 수 있도록 상태 페이지를 운영했다. 또한 업스트림 제공자,NOC 및 파트너들과 함께 공격을 완화하고자 노력하였으며, 영향받는..

국내외 보안동향 2018. 4. 16. 17:55

Hackers Found Using A New Code Injection Technique to Evade Detection 연구원들이 Early Bird라는 새로운 코드 인젝션 기술을 발견했습니다. 이 기술은 정교한 악성코드 최소 3개에서 사용 되어 공격자들이 탐지를 피하는 것을 도왔습니다. Early Bird는 메인 스레드가 시작하기 전 공격자들이 악성 코드를 정식 프로세스에 인젝션해 대부분의 안티 바이러스 제품들이 사용하는 윈도우 훅 엔진의 탐지를 피할 수 있는 “간단하지만 강력한” 기술입니다. 연구원들은 Early Bird 코드 인젝션 기술이 “악성 코드를 쓰레드 초기화의 매우 이른 단계에서 로드하여, 많은 보안 제품들이 훅을 배치하기도 전에 로드 되어 악성코드가 탐지 되지 않고 악성 행동을 할 ..

국내외 보안동향 2018. 4. 16. 14:54

[4월 둘째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] [CJ대한통운]서솔빈4/12 상품을(주소가정확하지않기)변경요망2 [Web발신] 예식일시:2018.4.28 오전11시30분 오시는길 출처 : 알약M기간 : 2018년 4월 7일 ~ 4월 13일

안전한 PC&모바일 세상/스미싱 알림 2018. 4. 16. 09:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘We’ll miss you: [수신자 이메일 주소] Removal request from [수신자 도메인] server accepted’ 라는 제목의 피싱 메일이 이메일 관리자를 타깃으로 국내에서 유포되고 있어 주의를 당부드립니다. 매우 고전적인 이메일 계정 피싱 수법이긴 하지만, 이번에 발견된 공격수법은 마치 이메일 웹 서버에서 관리자 권한으로 계정들을 모조리 삭제하는 것처럼 교묘하게 만들어진 특징이 있습니다. ※ 참고자료 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의▶ 군비 통제 관련 기사 문서로 위장한 악성코드 주의▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 ▶ '국내 포털 사이트의 계정 종료'로 위..

악성코드 분석 리포트 2018. 4. 12. 17:15

Warning: Your Windows PC Can Get Hacked by Just Visiting a Site 마이크로소프트가 4월의 ‘패치 화요일’ 보안 업데이트를 공개했습니다. 이는 윈도우 OS 및 기타 제품에 존재하는 치명적인 취약점 다수를 수정합니다. 이 중 5건은 사용자가 웹사이트를 방문하기만 해도 공격자가 컴퓨터를 해킹하도록 허용합니다. 마이크로소프트는 Windows Graphics Component의 치명적인 취약점 5건을 패치했습니다. 이들은 윈도우 폰트 라이브러리가 내장 된 폰트를 적절하게 처리하지 못해서 발생하며, Windows 10 / 8.1 / RT 8.1 / 7, Windows Server 2008 / 2012 / 2016를 포함한 모든 윈도우 OS에 존재합니다. 공격자는 사용..

국내외 보안동향 2018. 4. 12. 09:30