The Emotet botnet is back and hits 100K recipients per day 2개월의 공백 끝에 크리스마스 이브에 맞춰 Emotet이 돌아왔습니다. 공격자들은 악명높은 Trickbot 트로이목마를 배포하기 위해 스팸 메시지를 보내고 있습니다. 최근 실행된 Emotet 캠페인은 업데이트된 페이로드를 사용하며 매일 10만 명 이상의 수신자를 노렸습니다. Cofense는 이에 대해 아래와 같이 보도했습니다. “약 2달 가량 활동이 잠잠했던 Emotet이 업데이트된 페이로드와 함께 돌아왔습니다. 이는 피해자와 네트워크 방어 장치의 탐지를 피하기 위한 것으로 보입니다.” “이러한 업데이트 외에도, 캠페인의 타깃, 전략, 보조 페이로드는 이전과 동일했습니다." Emotet은 최소 201..

국내외 보안동향 2020. 12. 28. 14:00

Wormable Gitpaste-12 Botnet Returns to Target Linux Servers, IoT Devices 타깃 시스템에 가상화폐 채굴기와 백도어를 설치하고 GitHub과 Pastebin을 통해 확산되는 웜 봇넷이 웹 애플리케이션, IP 카메라, 라우터를 해킹하기 위한 기능을 확장하여 돌아왔습니다. 지난달 초, Juniper Threat Labs의 연구원들은 악성코드를 호스팅하기 위해 GitHub을 사용하는 "Gitpaste-12"라는 가상화폐 채굴 캠페인을 발견했습니다. 이 악성코드는 Pastebin URL에서 다운로드한 명령을 통해 실행되는 알려진 공격 모듈 12개를 포함하고 있었습니다. 이 공격은 지난 10월 15일 시작해 10월 30일 Pastebin URL과 저장소가 중단..

국내외 보안동향 2020. 12. 16. 09:09

PgMiner botnet attacks weakly secured PostgreSQL databases 보안 연구원들이 PostgreSQL 데이터베이스에 크립토마이너를 설치하는 봇넷 공격을 발견했습니다. 연구원들이 PgMiner라 명명한 이 봇넷은 금전적 이익을 얻기 위해 웹 기술을 노리는 수 많은 사이버 범죄 활동들 중에서 가장 최근 발견된 것입니다. Palo Alto Networks Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 연결된 PostgreSQL 데이터베이스에 브루트포싱 공격을 수행합니다. 이 공격은 간단한 패턴을 통해 수행됩니다. 봇넷은 공개 네트워크 범위 중 하나를 랜덤으로 뽑은 후 (예: 18.xxx.xxx.xxx) 해당 범위 내 IP 주소에서 온라인에 PostgreSQL 포..

국내외 보안동향 2020. 12. 14. 09:06

Botnets have been silently mass-scanning the internet for unsecured ENV files 공격자들이 지난 2~3년 동안 인터넷에 실수로 업로드되어 웹 서버에 노출된 ENV 파일을 탐색하는 대규모 스캔을 진행해온 것으로 나타났습니다. ENV 파일은 일반적으로 개발 툴에서 사용되는 구성 파일 유형입니다. Docker, Node.js, Symfony, Django와 같은 프레임워크가 ENV 파일을 사용하여 API 토큰, 비밀번호, 데이터베이스 로그인 등 환경 변수를 저장합니다. ENV 파일은 포함하고 있는 데이터의 특성 덕분에 항상 보호된 폴더에 저장되어야 합니다. SecurityJoes의 보안 분석가인 Daniel Bunce는 이에 대해 아래와 같이 밝혔습니..

국내외 보안동향 2020. 11. 23. 14:00

KashmirBlack, a new botnet in the threat landscape that rapidly grows Imperva의 보안 연구원들이 정교한 새 봇넷을 발견했습니다. KashmirBlack라 명명된 이 봇넷은 콘텐츠 관리 시스템(CMS) 플랫폼의 취약점을 악용하여 이미 웹사이트 수십만 곳을 감염시킨 것으로 나타났습니다. KashmirBlack 봇넷은 지난 2019년 11월부터 활성화된 것으로 추측되며, 운영자는 타깃 서버 내 존재하는 취약점 수십 개를 악용했습니다. 전문가들은 KashmirBlack 봇넷의 봇 마스터로 인도네시아 해커 크루 “PhantomGhost”의 멤버이자 “Exect1337”이라는 닉네임을 사용하는 해커를 지목했습니다. 전문가들은 전 세계 30개국의 피해자 수..

국내외 보안동향 2020. 10. 27. 09:12

QBot uses Windows Defender Antivirus phishing bait to infect PCs Qbot 봇넷이 악성코드를 배포하기 위해 새로운 템플릿을 사용하기 시작했습니다. 이들은 사용자가 엑셀 매크로를 활성화하도록 속일 목적으로 가짜 윈도우 디펜더 안티바이러스 테마를 사용합니다. QakBot 또는 QuakBot으로도 알려진 Qbot은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성코드입니다. 피해자들은 보통 다른 악성코드에 감염되거나 피싱 캠페인을 통해 Qbot에 감염됩니다. 피싱 캠페인은 가짜 인보이스, 지불 및 은행 정보, 스캔 문서 등 다양한 미끼를 사용합니다. 이 스팸 메일에는 악성 엑셀(.xls)파일이..

국내외 보안동향 2020. 10. 13. 09:00

Emotet malware's new 'Red Dawn' attachment is just as dangerous Emotet 봇넷이 악성 첨부파일에 새로운 템플릿을 사용하기 시작했습니다. 이 첨부파일은 이전 것들 보다 훨씬 위험한 것으로 나타났습니다. Emotet 악성코드는 5개월의 공백기를 거친 후 2020년 7월 돌아와 전 세계적으로 엄청난 양의 악성 스팸을 배포하기 시작했습니다. 이 스팸 캠페인은 아래와 같이 인보이스, 배송 정보, 코로나19 정보, 이력서, 금융 관련 문서, 스캔된 문서 등으로 위장합니다. 이 이메일에는 악성 워드(.doc)파일이나 해당 파일을 다운로드하는 링크가 첨부되어 있습니다. 이 첨부파일을 열람할 경우 사용자에게 ‘콘텐츠를 활성화’하라는 알림이 표시됩니다. 이를 활성화하게..

국내외 보안동향 2020. 8. 31. 09:00

Emotet malware now steals your email attachments to attack contacts Emotet 악성코드 봇넷이 타깃 시스템을 감염시키기 위해 스팸 이메일의 신뢰성을 높일 목적으로 첨부파일까지 훔치기 시작한 것으로 나타났습니다. Binary Defense의 위협 연구원인 James Quinn은 봇넷이 이메일의 신뢰성을 높이기 위해 훔친 첨부파일을 사용하는 것은 이 봇넷이 최초라 밝혔습니다. Marcus 'MalwareTech' Hutchins에 따르면 이 첨부파일 스틸러 모듈 코드는 6월 13일경 추가되었습니다. 이 새로운 전략은 Emotet 그룹이 하이잭한 이메일 대화 스레드 악용 시 새로운 이메일에 포함된 악성 URL 또는 첨부파일로 위장하는데 사용됩니다. 201..

국내외 보안동향 2020. 7. 29. 15:00