안녕하세요? 이스트시큐리티입니다. 여전히 안전하지 않은 재택근무 환경, 하루가 다르게 급속도로 발전하는 IT 기술, 이에 비례하는 해커들의 공격 범위 확산, 더불어 증가하고 있는 랜섬웨어의 횡포. 회사의 보안을 책임지고 있는 우리의 관리자들은, 형태도 모르고 알려지지도 않은 각종 위협들로부터 사용자들의 근무 환경을 어떻게든 지켜내기 위해 오늘도 열심히 고군분투하고 있습니다. 바로 '모르는 것.' 이것이 백신을 교체해도 관리자들의 어려움이 해소되지 않는 가장 근본적인 이유입니다. 그렇다면 이렇게 모르는 위협을 어떻게 해결할 수 있을까요? 지금부터 이 문제를 해결해 줄 수 있는 알약 EDR이라는 솔루션에 대해 여러분께 소개하고자 합니다. EDR, 대체 그게 무엇일까? EDR은 'Endpoint Detecti..

이스트시큐리티 소식 2023. 3. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다. Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다. ‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화..

악성코드 분석 리포트 2023. 3. 23. 14:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 랜섬웨어는 2022년 4월부터 활발히 활동하기 시작하였고 Qakbot 에 의해 빠르게 유포되는 중입니다. 이 봇에 감염되는 시스템들은 BlackBasta 랜섬웨어에 감염된다고 알려져있습니다. 현재까지는 주로 미국 기업들이 공격 대상이 되고 있으나 미국 내에서 성행하고 있는 만큼 우리나라도 각별한 주의가 필요합니다. BlackBasta 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 해당 악성코드는 자기 자신을 서비스로 등록한 후 안전모드로 재부팅하여 사용자의 파일을 감염하는 특징이 있습니다. 또한 C&C 연결을 하지 않아도 암호화되기 때문에 보안을 위해 폐쇄망을 사용하는 기업들도 랜섬웨어 공격에 더 큰 주..

악성코드 분석 리포트 2023. 1. 27. 09:00

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 기능을 업데이트 한 매그니베르 랜섬웨어가 유포 중에 있어 사용자들의 주의가 필요합니다. 매그니베르 랜섬웨어는 기존과 동일하게 해킹된 불특정 다수를 대상으로 .msi 파일 형태로 유포 중에 있습니다. 공격자들은 'SYSTEM.Critical.Upgrade.Win10.0.16자리 랜덤 문자열' 파일명을 가진 .msi 파일을 내려주어 사용자들의 실행을 유도합니다. 매그니베르 랜섬웨어는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어를 dll 형태로 포함하여 유포하며, 만일 사용자가 해당 파일을 업데이트 파일로 오인하여 실행하면 msi 파일 내 포함되어 있는 dll 파일이 호출되며 매그니베르 랜섬웨어가 실행됩니다. 매그니베르 랜섬웨어가 실행되면 사용자 ..

악성코드 분석 리포트 2022. 10. 24. 13:21

BlackCat Ransomware affiliates target unpatched Microsoft Exchange servers 마이크로소프트 연구원들이 BlackCat 랜섬웨어가 패치되지 않은 익스체인지 서버를 공격해 전 세계의 조직을 해킹하고 있다고 밝혔습니다. 공격자는 익스체인지 서버를 해킹해 타깃 네트워크에 액세스하고 내부 정찰 및 측면 이동 활동을 수행하고 암호화하기 전에 민감한 문서를 훔칠 수 있었습니다. 마이크로소프트는 관련하여 아래와 같이 밝혔습니다. "보통 원격 데스크톱 애플리케이션 및 훔친 크리덴셜을 진입 벡터로 사용하지만, 이 공격자는 익스체인지 서버 내 취약점을 악용하여 대상 네트워크에 접근하는 것을 발견했습니다. 또한 적어도 두 알려진 파트너인 DEV-0237(이전에 Ryuk..

국내외 보안동향 2022. 6. 17. 09:00

Ransomware gangs are exploiting CVE-2022-26134 RCE in Atlassian Confluence servers 여러 랜섬웨어 그룹이 Atlassian Confluence Server 및 Data Center에 존재하는 최근 공개된 원격 코드 실행(RCE) 취약점(CVE-2022-26134)을 활발히 악용하고 있는 것으로 드러났습니다. Bleeping Computer는 CVE-2022-26134 취약점에 대한 PoC 익스플로잇이 온라인에 공개되었다고 밝혔습니다. 사이버 보안 회사인 GreyNoise의 연구원은 23개의 고유 IP 주소가 해당 Atlassian 취약점을 악용하는 것을 발견했다고 보고했습니다. 원격 공격자는 이 OGNL 주입 취약점을 악용하여 취약한 서버를..

국내외 보안동향 2022. 6. 13. 14:00

Hello XD ransomware now drops a backdoor while encrypting 사이버 보안 연구원들이 더 강력한 암호화로 업그레이드된 샘플을 배포하는 Hello XD 랜섬웨어의 활동이 증가했다고 밝혔습니다. 2021년 11월 처음 발견된 이 랜섬웨어 패밀리는 유출된 Babuk의 소스코드를 기반으로 하며, 공격자가 기기를 암호화하기 전에 기업의 데이터를 훔칩니다. Palo Alto Networks Unit 42에서 발표한 새로운 보고서에 따르면, 악성코드 제작자는 탐지 회피 및 암호화 알고리즘 변경을 위한 맞춤형 패킹이 특징인 새로운 암호화기를 만들었습니다. 이는 Babuk의 코드와는 크게 다르며, 제작자가 공격을 증가시키기 위해 고유한 기능을 갖춘 새로운 랜섬웨어 변종을 개발하려..

국내외 보안동향 2022. 6. 13. 09:00

Bizarre ransomware sells decryptor on Roblox Game Pass store 복호화 툴을 Roblox 게임 플랫폼의 게임 내 통화인 Robux로 판매하는 특이한 접근 방식을 사용하는 새로운 랜섬웨어가 발견되었습니다. Roblox는 회원들이 게임 내 아이템, 특별 액세스, 향상된 기능을 제공하는 Game Pass를 판매해 자신만의 게임을 만들고 수익을 창출할 수 있는 온라인 어린이 게임 플랫폼입니다. 이 게임 패스를 구매하려면 회원은 Robux라는 게임 내 통화를 사용해야 합니다. Roblox에서 암호 해독기 판매해 보안 연구원인 MalwareHunterTeam은 악명 높은 Ryuk 랜섬웨어를 사칭하는 새로운 랜섬웨어인 'WannaFriendMe'를 발견했습니다. 하지만 이..

국내외 보안동향 2022. 6. 10. 14:00