세계 최대 스팸봇넷인 Necurs가 최근 스팸메일 발송 방식을 이용하여 Swisscoin 가상화폐를 유포하는 것을 확인하였습니다. 이 봇넷은 주식추천에 관련된 대량의 스팸메일을 보내어 사용자들의 클릭을 유도하며, 이러한 방식을 보안연구원들은 pump-and-dump라고 부릅니다. 이 용어는 금융업계에서 사용하는 언어로, 스팸메일 발송자들이 특정 주식을 낮은 가격에 매수해 놓고, 해당 주식과 관련된 스팸메일을 대량으로 발송하여 주식의 가격이 상승하면 매도함으로서 차익을 얻는 방법을 뜻합니다. Necurs 봇넷은 수백만대의 좀비 PC로 이루어져 있을 것으로 추정되며, 이 봇넷은 몇년 동안 줄곧 "pump-and-dump"활동을 진행해 왔습니다. 하지만, 이 밖에도 Necurs는 Dridex 악성코드나 기타 ..

국내외 보안동향 2018. 2. 1. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(state-sponsored actor)가 2018년에는 글로벌을 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하는 특징이 있고, 내부 코드를 숨기는데 나름의 노력을 기울이고 있다는 것이 특징입니다. 이들의 사이버 위협 활동은 지속적으로 진행되고 있는데, 얼마 전 알약 블로그를 통해 포스팅됐던 [3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'] 내용의 연장선이라 할 수..

악성코드 분석 리포트 2018. 1. 31. 20:46

「Coincheck」で約580億円分の仮想通貨が不正送金 - 自己資金で補償する方針 최근 일본의 가상화폐거래소 ‘Coincheck’가 해킹당하여 보유하고 있던 'NEM' 가상화폐가 유출되는 사건이 발생하였습니다. 이번에 유출된 가상화폐는 엔화로 약 580억엔에 달합니다. 해당 거래소를 운영하는 코인체크에 따르면, 1월 26일 3시전부터 가상화폐 'NEM'이 수 차례에 걸쳐서 불법적으로 유출되었으며, 11시 반 경에 잔고가 이상하게 감소하고 있다는 것을 인지하면서 이번 사건이 확인되었습니다. 이번 사건으로 인한 피해액은 5억2300만 XEM으로 일본 엔으로 환산하면 약 580억 엔에 달합니다. FDS를 도입하였지만, 이상을 감지하기까지 약 8시간이 걸렸기 때문에, 거의 모든 ‘NEM’이 피해를 입었다고 밝혔습니..

국내외 보안동향 2018. 1. 31. 14:39

4차 산업혁명 시대, 최신 글로벌 IT트렌드에 빠지지 않는 요소중 하나는 ‘인공지능(AI)’ 입니다. 구글의 알파고(AlphaGo)와 이세돌 9단의 충격적인 바둑 대결이 펼쳐진 지 어느새 2년이 지났으며, 그만큼의 시간 동안 AI는 다양한 분야에서 다양한 형태로 더욱 우리 삶의 가까이에 다가왔습니다. AI 기술은 이른바, 차세대 성장 엔진으로 평가받고 있습니다. 자료: IDC IDC의 시장 조사 결과, 글로벌 AI 시장규모는 2020년까지 연평균 55.1%씩 성장할 전망이며, 2022년엔 1,000억달러(약 112조원)를 넘어설 것으로 예상되고 있습니다. 구글 최고경영자(CEO) 순다 피차이도 '모두를 위한 AI'라는 제목의 기조연설에서 우리는 현재 모바일 퍼스트(Mobile-first)에서 AI 퍼스트..

전문가 기고 2018. 1. 29. 18:27

최근 보안연구원들은 해커들이 모네로를 채굴하기 위해 사용자들의 로그인 정보를 탈취하고 있다고 밝혔습니다. 대부분의 일반 사용자들은 컴퓨터에서 채굴을 할 때 많은 리소스가 필요할 뿐만 아니라, 프론트엔드에서 암호화폐를 채굴하는 동안 백엔드에서는 사용자 몰래 키로거를 호스팅하여 사용자의 계정 정보를 탈취한다는 사실을 모르고 있습니다. 이번에 발견된 악성 키로거가 제대로 작동하면 감염된 웹사이트에서 사용자가 입력한 모든 정보가 해커에게 전송됩니다. 이 정보들에는 로그인 정보도 포함됩니다. 심지어 사용자가 ‘로그인’ 버튼을 클릭하기도 전에 입력된 로그인 정보가 해커에게 전송됩니다. 해커가 웹 사이트 관리자의 로그인 정보를 탈취하는 데 성공하면, 이후에는 해당 사이트의 취약점을 이용할 필요도 없이 접근할 수 있게..

국내외 보안동향 2018. 1. 29. 17:30

Strava는 트래킹앱으로 사용자가 운동할 때 모바일에 있는 GPS를 추적하여 언제 어디서 사용자가 운동을 하였는지 알려줄 뿐만 아니라, 해당 앱을 사용하는 다른 사용자들과도 커뮤니케이션을 할 수 있습니다. 작년 11월, Strava는 자신들의 웹페이지를 통해 위치정보들을 시각화 한 heatmap을 공개하였으며, 이 페이지를 통하여 세계 각지 Strava 사용자들의 활동을 확인할 수 있도록 하였습니다. 하지만 전문가들은, 이 heatmap이 군사기밀시설의 위치와 그 직원들의 정보를 쉽게 유출시킬 수 있다고 밝혔습니다. Nathan Ruser은 Strava의 heatmap은 충분히 악의적으로 이용할 수 있으며, 이미 공개된 군사시설 지도와도 비교해볼 수 있다고 밝혔습니다. heatmap은 군사시설의 위치를..

국내외 보안동향 2018. 1. 29. 14:20

안녕하세요? 이스트시큐리티입니다. 전세계적으로 가상 화폐가 열풍인 가운데, 가상 화폐를 채굴하는 악성코드가 지속적으로 확인되고 있습니다. 특히 이번에 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로, 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징입니다. 따라서 본 보고서에서는 ‘Misc.Riskware.BitCoinMiner’ 악성코드의 상세 분석 내용을 다루고자 합니다. 이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었습니다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통하여 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도합니다. 다음은 바로가기 파일의 속성 정보입니다. [그림 1] 모네로 채굴 악성코드..

악성코드 분석 리포트 2018. 1. 29. 10:17

[1월 넷째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 고객님, 해외배송 SB18JB515 배송건 진행상황 안내드립니다. 2 [Web발신] 예식일시:2018.1.27오전11시30분 오시는길 출처 : 알약 안드로이드기간 : 2018년 1월 22일 ~ 1월 26일

안전한 PC&모바일 세상/스미싱 알림 2018. 1. 29. 09:20