안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 보이스피싱은 꾸준하게 발생하고 있으며 꼭 전화를 통한 방법이 아닌 메신저를 활용한 방법들도 증가하고 있습니다. 여러 가지 사례들이 확인되고 있지만 아래와 같이 분류할 수 있습니다. 1. 각종 기관을 사칭하는 방법 A. 검사나 경찰, 은행원을 사칭하여 피해자에게 문제가 생긴 것처럼 얘기하고 해결을 위한 돈을 요구 2. 메신저를 통해 지인과 가족을 사칭한 방법 A. 휴대폰이 망가져서 친구 계정으로 연락했다며 수리비가 급하니 돈을 요구 3. 연락처에 저장된 가족 번호를 활용한 방법 A. 010을 제외한 뒤 번호 8자리를 가지고 연락처의 이름을 판단하는 점을 악용해 가족이나 지인으로 위장하여 돈을 요구 4. 대출을 받기 위한 신용 조회 방법 A...

악성코드 분석 리포트 2022. 6. 21. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 세인트스틸러(Saintstealer)는 이름에서 알 수 있듯이 인포스틸러(Infostealer) 악성코드로 여러 웹 브라우저와 다양한 프로그램의 계정 정보 및 하드웨어 정보, 특정 파일 등을 탈취하는 기능을 가지고 있습니다. 이렇게 수집된 모든 정보를 취합하여 압축 파일로 만들어 텔레그램 봇을 이용하여 공격자에게 전송하며, 추가 메타 데이터는 공격자가 지정한 C&C 주소로 전송하는 특징을 가지고 있습니다. 또한, 진단을 우회하기 위해 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있습니다. 세인트스틸러(Saintstealer)는 Chromium기반 브라우저의 패스워드, 쿠기 및 자동채움 폼(Autofill) 데이터 정보와 디스코드, 텔레..

악성코드 분석 리포트 2022. 6. 20. 09:00

[6월 세 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [요청하신 결제금액]KRW 973,200원 정상처리 되었습니다 고객센터 050-xxxx-xxxx 2 [국제발신] 1,047,420원 결제완료 본인아닐시 문의전화:02-xxxx-xxxx 3 [대한택.배], 고 객님 물품 배송 불가 :주:소 오류 즉시 :주:소 수정: 4 [대한통운], 고 객상 품 배송 불가 ”주”소 오류 즉시 정정:[ han[.]gl/xxxxx ] 5 [Web발신][국민건강검진]건강검진 안내서 발송완료.내용보기[xxxxx.xxxx[.]ink] 출처 : 알..

안전한 PC&모바일 세상/스미싱 알림 2022. 6. 17. 18:31

New MaliBot Android banking malware spreads as a crypto miner 이탈리아와 스페인의 사용자를 노린 가상화폐 채굴 앱이나 크롬 웹 브라우저로 위장한 새로운 안드로이드 뱅킹 악성코드인 MaliBot이 발견되었습니다. MaliBot은 전자 뱅킹 서비스 크리덴셜, 암호화 지갑 패스워드, 개인 정보 등과 같은 금융 관련 정보를 훔치는 데 집중하며, 알림에서 2단계 인증 코드를 빼낼 수도 있습니다. F5 Labs의 보고서에 따르면, 이들은 현재 다수의 배포 채널을 사용하고 있으며 이는 FluBot 운영이 갑작스럽게 중단된 후 빈자리를 채우기 위한 것으로 추측됩니다. 가짜 가상화폐 채굴 앱 Malibot의 명령 및 제어 서버는 러시아에 위치하며, 해당 IP는 2020년 ..

국내외 보안동향 2022. 6. 17. 14:00

BlackCat Ransomware affiliates target unpatched Microsoft Exchange servers 마이크로소프트 연구원들이 BlackCat 랜섬웨어가 패치되지 않은 익스체인지 서버를 공격해 전 세계의 조직을 해킹하고 있다고 밝혔습니다. 공격자는 익스체인지 서버를 해킹해 타깃 네트워크에 액세스하고 내부 정찰 및 측면 이동 활동을 수행하고 암호화하기 전에 민감한 문서를 훔칠 수 있었습니다. 마이크로소프트는 관련하여 아래와 같이 밝혔습니다. "보통 원격 데스크톱 애플리케이션 및 훔친 크리덴셜을 진입 벡터로 사용하지만, 이 공격자는 익스체인지 서버 내 취약점을 악용하여 대상 네트워크에 접근하는 것을 발견했습니다. 또한 적어도 두 알려진 파트너인 DEV-0237(이전에 Ryuk..

국내외 보안동향 2022. 6. 17. 09:00

Hackers exploit three-year-old Telerik flaws to deploy Cobalt Strike Blue Mockingbird로 알려진 조직이 Telerik UI 취약점을 악용하여 Cobalt Strike를 설치하고 시스템 리소스를 하이재킹을 하여 암호화폐 Monero를 채굴하는 것으로 확인되었습니다. 공격자가 악용한 취약점은 CVE-2019-18935로, ASP.NET AJAX용 Telerik UI 라이브러리에서 원격 코드 실행 취약점으로, 2020년 5월, Telerik UI를 사용하는 취약한 Microsoft IIS 서버를 대상으로 공격을 진행한 적이 있습니다. 이 후 곧이어, 벤더에서 보안 업데이트를 공개하였습니다. 하지만 보안 업데이트가 제공된지 1년이 지났지만, Bl..

국내외 보안동향 2022. 6. 16. 14:51

Hertzbleed Side-Channel Attack allows to remotely steal encryption keys from AMD and Intel chips Intel 및 AMD 프로세서에서 새로운 보안취약점인 Hertzbleed가 발견되었습니다. 해당 취약점을 악용하면 공격자는 원격에서 사이드 채널 공격을 통해 암호화 키를 탈취할 수 있습니다. 이번에 발견된 Hertzbleed라 명명된 취약점은 DVFS(dynamic voltage and frequency scaling)에 뿌리를 두고 있습니다. DVFS는 전력 소비 및 많은 양의 데이터를 처리할 때 CPU의 과열을 방지하기 위하여 전류를 사용하고 활동이 적은 시간동안 배터리 전원을 끄거나 전압을 강제적으로 낮춰 발열을 줄이는 기능입니..

국내외 보안동향 2022. 6. 16. 10:28

A critical flaw in Citrix Application Delivery Management allows resetting admin passwords Citrix가 악용할 경우 관리자 패스워드를 리셋 가능한 Citrix ADM(Application Delivery Management)의 치명적인 취약점인 CVE-2022-27511을 수정했습니다. Citrix ADM은 하이브리드 멀티 클라우드 환경에서 애플리케이션 배포를 위한 자동화, 오케스트레이션, 관리, 분석 등에 사용하는 포괄적인 플랫폼입니다. 이 취약점은 Code White의 보안 연구원인 Florian Hauser가 제보한 부적절한 액세스 제어 이슈입니다. Citrix는 권고를 통해 아래와 같이 밝혔습니다. "인증되지 않은 원격 사용..

국내외 보안동향 2022. 6. 16. 09:00