北朝鮮の攻撃グループ「HIDDEN COBRA」、国内で活動した形跡 북한의 해킹그룹인 ‘HIDDEN COBRA’에 의한 APT공격이 일본을 대상으로 전개되고 있을 가능성도 있다는 사실이 밝혀졌습니다. ※ HIDDEN COBRA 조직이란? 포티넷 자료에 따르면, 포티넷에서 ‘FALLCHILL’을 관측한 것이 유일하게 일본이었다고 밝혔습니다. 포티넷 재팬이 이 그룹이 이용하는 악성코드에 의한 통신을 관측한 것입니다. 이번에 관측된 것은, 이 그룹이 적어도 2016년경부터 사용하고 있는 것으로 보이는 원격접속툴 ‘FALLCHILL’ 통신입니다. 해당 악성코드는 미국토안전보장성(DHS)과 연방수사국(FBI)이 공동조사를 통하여 백도어인 ‘Volgmer’와 함께 올해 11월 중순에 상세정보가 공개된 악성코드 이기도 합..

국내외 보안동향 2017. 12. 21. 17:33

안녕하세요. 이스트시큐리티입니다. 작년 7월 4일 사용자의 마스터 부트 레코드(MBR)를 암호화 하여 PC 실행을 막는 Satana 랜섬웨어가 처음 등장하였습니다. 이는 MBR을 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 랜섬웨어였습니다. 그러나 모든 파일은 동일 특정 키로 암호화 된다거나, 디버그 스트링을 남기는 등 결점을 포함하고 있어 개발 초기 단계의 버전으로 보였습니다. (참고▶http://blog.alyac.co.kr/691) 그러나 올해 등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로 진화했으며 다양한 안티 디버깅 기법과 프로세스 인젝션 등 클래식 랜섬웨어 기능에 분석을 어렵게 하기 위한 다양한 기법들을 포함하고 있습니다...

악성코드 분석 리포트 2017. 12. 21. 13:00

안녕하세요. 이스트시큐리티입니다. '전국민 보안 업그레이드' 알약 탄생 10주년 기념으로 열 살 알약이 쏘는 열 번의 이벤트! 어느새 중반에 접어들어 다섯번째 이벤트 소식을 전해드리게 되었는데요. 열 살 알약이 열심히 그림을 그리며 준비한 이번 이벤트는 바로 '알약생일축하해' 사다리 타기 이벤트입니다! 안내 드리는 이벤트 내용을 확인하시고, 하단의 이벤트 참여하기 링크를 통해 알약이 준비한 사다기 타기 이벤트에 바로 응모해보세요! 참여 방법아래 링크를 확인하시고, '알약생일축하해' 중 당첨일 것 같은 한 글자를 골라 댓글로 남겨주세요!▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2017년 12월 20일(수) ~ 2017년 12월 ..

이스트시큐리티 소식/이벤트 2017. 12. 20. 15:41

Windows 10주년 업데이트(1607버전)에서, MS는 OS중 Content Delivery Manager 라는 한개의 기능을 추가하였으며, 이 기능은 몰래 "추천 응용프로그램"을 설치할 수 있는데 이때 사용자에게 어떠한 공지도 하지 않습니다. 몇달 전, Reddit 사용자가 Windows10 중 자신도 모르게 설치되어 있는 비밀번호 관리 프로그램을 발견하였습니다. 그 이후 Google Project Zero의 화이트 해커인 Tavis Ormandy 가 확인해본 결과 Windows10 시스템에 설치되어 있는 Keeper Password Manager 프로그램을 발견하였습니다. 이 프로그램은 MS와 서드파티 업체가 협력하여 설치하는 번들 프로그램인 것으로 추측됩니다. 몇번의 테스트 과정에서, Orman..

국내외 보안동향 2017. 12. 19. 15:51

■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager) 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다. 해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다. 이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다. [그림 1] 과거 주요 사이버 위협 사례 201..

악성코드 분석 리포트 2017. 12. 19. 02:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 주말부터 동영상 파일로 위장한 악성프로그램이 페이스북(Facebook) SNS 메시지를 통해 다수 전파되고 있어 각별한 주의가 필요합니다. ▶ 페이스북 메신저로 받은 악성 단축 URL 클릭 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 이번에 발견된 악성파일은 주로 페이스북 친구들에게 전파되었으며, 'video_(임의의 숫자 조합).zip' 형태가 사용되었습니다. [그림 1] 페이스북 메신저로 유포된 악성파일 주의 내용 만약 페이스북 이용자가 메신저로 해당 파일을 다운로드해 압축을 해제한 후 실행할 경우 감염이 이뤄지게 됩니다. 악성파일은 비디오 동영상 파일처럼 위장하고 있지만, 실제로는 2중 확장자의 Vide..

악성코드 분석 리포트 2017. 12. 18. 11:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 여러분들도 잘 아시다시피 한국에서는 다양한 보안위협과 침해사고가 이어지고 있습니다. 이러한 사이버 위협에는 항상 배후가 존재하지만, 사이버 세상의 특성상 공격자와 거점을 특정하고 실체를 규명하는 것은 매우 어려운 일입니다. 하지만 어떠한 현상이나 사건에는 누구도 의식하지 못한 사이 특정 코드가 기록되거나, 평상시 습관에 의해 고유한 흔적을 남겨 결정적 증거나 단서로 사용됩니다. 사이버 공격자가 제작한 코드를 분석하거나 공격에 활용된 시스템, 네트워크, 사용 언어 등 다양한 환경과 프로세스를 분석해 공통점을 찾아가는 과정은 많은 시간과 노력이 필요하지요. ■ 공격자의 관심사와 공격의도를 고민하자! 각 분야별 침해 위협을 분석하고 대응하는 입장에서..

악성코드 분석 리포트 2017. 12. 15. 17:58

[12월 둘째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2017.12.16 오전10시 장소 2 저 결혼해요.^^ 예약일시:2017.12.23 2. 다수 문자 No.문자 내용 1 확인해주시길바랍니다 2 [Web발신] [CJ대한통운]운송장번호[845*26]주소지 미확인..반송처리 주소확인 출처 : 알약 안드로이드기간 : 2017년 12월 11일 ~ 12월 15일

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 15. 15:28