New Pro-Ocean malware worms through Apache, Oracle, Redis servers 금전적 이득을 목적으로 하는 Rocke 해커들이 새로운 크립토재킹 악성코드를 사용하고 있는 것으로 나타났습니다. 이들은 새로운 악성코드인 ‘Pro-Ocean’을 이용하여 취약한 Apache ActiveMQ, Oracle WebLogic, Redis 인스턴스를 노립니다. 이 새로운 악성코드는 자체 확산 기능이 포함되어 있어, 기기를 발견하면 바로 감염을 시도한다는 점에서 해당 그룹의 이전 공격 보다는 한 단계 진화했다고 볼 수 있습니다. 악성 행동 숨겨 Rocke 크립토재킹 해커는 그들의 공격 습관을 바꾸지 않았습니다. 이들은 여전히 클라우드 애플리케이션을 공격하고, 패치되지 않은 Orac..

국내외 보안동향 2021. 2. 1. 14:13

New worm turns Windows, Linux servers into Monero miners 12월 초부터 윈도우와 리눅스 서버에 XMRig 가상화폐 채굴기를 활발히 확산시키는 자가 확산 Golang 기반 악성코드가 발견되었습니다. Intezer의 보안 연구원인 Avigayil Mechtinger에 따르면, 이 멀티플랫폼 악성코드는 브루트포싱을 통해 취약한 패스워드로 보호된 인터넷에 연결된 다른 시스템에(MySQL, Tomcat, Jenkins, WebLogic) 확산되는 웜 기능 또한 포함하고 있었습니다. 이 캠페인의 배후에 있는 공격자들은 이 악성코드가 처음 발견된 이래로 명령 및 제어 서버를 통해 지속적으로 웜 기능을 업데이트하고 있었습니다. 이는 공격자가 해당 악성코드를 적극적으로 관리한..

국내외 보안동향 2020. 12. 31. 09:16

PgMiner botnet attacks weakly secured PostgreSQL databases 보안 연구원들이 PostgreSQL 데이터베이스에 크립토마이너를 설치하는 봇넷 공격을 발견했습니다. 연구원들이 PgMiner라 명명한 이 봇넷은 금전적 이익을 얻기 위해 웹 기술을 노리는 수 많은 사이버 범죄 활동들 중에서 가장 최근 발견된 것입니다. Palo Alto Networks Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 연결된 PostgreSQL 데이터베이스에 브루트포싱 공격을 수행합니다. 이 공격은 간단한 패턴을 통해 수행됩니다. 봇넷은 공개 네트워크 범위 중 하나를 랜덤으로 뽑은 후 (예: 18.xxx.xxx.xxx) 해당 범위 내 IP 주소에서 온라인에 PostgreSQL 포..

국내외 보안동향 2020. 12. 14. 09:06

Crypto-mining malware adds Linux password stealing capability TeamTNT 사이버 범죄 그룹이 크립토마이닝 웜 악성코드를 업데이트 했습니다. 이들은 악성코드에 비밀번호 탈취 기능과 네트워크 스캐너를 추가해 다른 취약한 기기로 더욱 쉽게 확산되도록 했습니다. 이 그룹은 해킹된 기기에서 무단으로 모네로(XMR)를 채굴하기 위해 Docker 인스턴스를 노리는 것으로 알려져 있지만, 이제 이 크립토재킹 악성코드는 사용자의 자격 증명 또한 수집하도록 업그레이드되었습니다. 비밀번호 스틸러, 스캐닝 기능 업그레이드 Unit 42 연구원들이 TeamTNT가 악성코드의 기능을 개선하는 작업을 진행 중이라는 것을 발견했습니다. 이번에는 mimipy(윈도우, 리눅스, mac..

국내외 보안동향 2020. 10. 6. 14:00

New MrbMiner malware infected thousands of MSSQL DBs 한 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행하고 있는 것으로 나타났습니다. 이들의 목적은 시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 위한 것으로 드러났습니다. 텐센트에 따르면 이 해커 팀은 지난 몇 달 동안 활동해 왔으며 크립토마이너를 설치하기 위해 마이크로소프트 SQL 서버(MSSQL)을 해킹했습니다. “텐센트는 새로운 마이닝 트로이 목마 패밀리인 MrbMiner를 발견했습니다. 해커는 SQL 서버의 취약한 비밀번호를 뚫고 침입했습니다. 이후 타깃 시스템에 C#로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행합니다.” 해커는 MSSQL 서버 수..

국내외 보안동향 2020. 9. 17. 09:00

Cryptojacking worm steals AWS credentials from Docker systems TeamTNT로 알려진 사이버 범죄 그룹이 크립토마이닝 웜을 통해 해킹된 Docker 및 Kubernetes 시스템에서 평문 상태의 AWS 크리덴셜 및 설정 파일을 훔치고 있는 것으로 나타났습니다. TeamTNT의 가상화폐 마이닝 봇넷은 지난 5월 MalwareHunterTeam이 처음으로 발견했으며 잘못 구성된 Docker 콘테이너와의 관련성을 발견한 Trend Micro 연구원들이 추가로 분석했습니다. Cado Security의 연구원들에 따르면, 이는 지극히 평범한 크립토마이닝 모듈 위에 AWS 크리덴셜 탈취 기능과 함께 제공되는 최초의 웜입니다. 이 봇넷은 노출된 Docker API를 찾..

국내외 보안동향 2020. 8. 19. 09:00

REvil ransomware gang launches auction site to sell stolen data REvil(Sodinokibi) 랜섬웨어 운영자가 해킹한 회사의 데이터를 판매하기 위해 eBay와 유사한 경매 사이트를 런칭했습니다. 이 경매 포털은 REvil 랜섬웨어가 가장 최근 내 놓은 협박 전략으로, 다시 한번 랜섬웨어 계의 트렌드세터로 자리매김했습니다. REvil 랜섬웨어는 가장 활발히 활동하고 공격적인 랜섬웨어 중 하나로 알려져 있습니다. 이들은 일반 소비자가 아닌 기업을 노립니다. 이들은 네트워크 어플라이언스에 존재하는 취약점을 악용하여 기업 네트워크에 침투해 피해자의 파일을 암호화한 후 천문학적인 랜섬머니를 요구합니다. (평균 금액 ~$260,000 상당) 또한 REvil은 다..

국내외 보안동향 2020. 6. 3. 09:37

Thousands of enterprise systems infected by new Blue Mockingbird malware gang 엔터프라이즈 시스템 수천 곳이 Blue Mockingbird 해킹 그룹의 가상화폐 채굴 악성코드에 감염된 것으로 보입니다. Red Canary의 악성코드 분석가가 이달 초 발견한 Blue Mockingbird 그룹은 2019년 12월부터 활동을 시작한 것으로 추측됩니다. 연구원들은 Blue Mockingbird가 ASP.NET 앱을 사용하며 UI 컴포넌트로 Teleric 프레임워크를 사용하는 인터넷에 공개된 서버를 공격한다고 밝혔습니다. 해커들은 CVE-2019-18935 취약점을 악용하여 해킹한 서버에서 웹 셸을 설치합니다. 이후 Juicy Potato 기술을 통해..

국내외 보안동향 2020. 5. 26. 09:59