Emotet malware's new 'Red Dawn' attachment is just as dangerous Emotet 봇넷이 악성 첨부파일에 새로운 템플릿을 사용하기 시작했습니다. 이 첨부파일은 이전 것들 보다 훨씬 위험한 것으로 나타났습니다. Emotet 악성코드는 5개월의 공백기를 거친 후 2020년 7월 돌아와 전 세계적으로 엄청난 양의 악성 스팸을 배포하기 시작했습니다. 이 스팸 캠페인은 아래와 같이 인보이스, 배송 정보, 코로나19 정보, 이력서, 금융 관련 문서, 스캔된 문서 등으로 위장합니다. 이 이메일에는 악성 워드(.doc)파일이나 해당 파일을 다운로드하는 링크가 첨부되어 있습니다. 이 첨부파일을 열람할 경우 사용자에게 ‘콘텐츠를 활성화’하라는 알림이 표시됩니다. 이를 활성화하게..

국내외 보안동향 2020. 8. 31. 09:00

Emotet malware now steals your email attachments to attack contacts Emotet 악성코드 봇넷이 타깃 시스템을 감염시키기 위해 스팸 이메일의 신뢰성을 높일 목적으로 첨부파일까지 훔치기 시작한 것으로 나타났습니다. Binary Defense의 위협 연구원인 James Quinn은 봇넷이 이메일의 신뢰성을 높이기 위해 훔친 첨부파일을 사용하는 것은 이 봇넷이 최초라 밝혔습니다. Marcus 'MalwareTech' Hutchins에 따르면 이 첨부파일 스틸러 모듈 코드는 6월 13일경 추가되었습니다. 이 새로운 전략은 Emotet 그룹이 하이잭한 이메일 대화 스레드 악용 시 새로운 이메일에 포함된 악성 URL 또는 첨부파일로 위장하는데 사용됩니다. 201..

국내외 보안동향 2020. 7. 29. 15:00

Undetectable Linux Malware Targeting Docker Servers With Exposed APIs 사이버 보안 연구원들이 알려지지 않은 기술을 통해 레이더를 피하고 AWS, Azure, Alibaba Cloud 등 인기 있는 클라우드 플랫폼에서 호스팅되는 공개적 접근 가능한 Docker 서버를 노리는 탐지가 완전히 불가능한 리눅스 악성코드를 발견했습니다. Docker는 개발자가 ‘컨테이너’라는 격리된 환경에서 애플리케이션을 생성, 테스트, 실행할 수 있도록 하는 인기 있는 리눅스 및 윈도우용 서비스형 플랫폼(PaaS: platform-as-a-service) 솔루션입니다. Intezer의 최근 연구에 따르면, 인터넷에서 잘못 구성된 Docker API 엔드포인트 스캐닝하는 Ng..

국내외 보안동향 2020. 7. 29. 10:11

Malicious USB Drives Infect 35,000 Computers With Crypto-Mining Botnet 지난 목요일 ESET 사이버 보안 연구원들은 최소 3만 5천 대의 해킹된 윈도우 시스템으로 구성된 악성 봇넷 중 일부를 중단시켰다고 밝혔습니다. 공격자는 이들을 모네로 가상화폐를 채굴하는데 이용했습니다. "VictoryGate"라 명명된 이 봇넷은 지난 2019년 5월부터 활성화되었으며 라틴 아메리카를 주로 노렸습니다. 특히 페루를 집중적으로 노려 해킹된 기기 전체의 90%가 페루에 위치한 상태였습니다. 이 봇넷의 주요 활동은 모네로 가상 화폐를 채굴하는 것이었습니다. 금융 기관을 포함한 공공 및 민간 조직에서 피해자가 발생했습니다. ESET은 동적 DNS 공급 업체인 No-IP..

국내외 보안동향 2020. 4. 27. 15:00

Microsoft Hijacks Necurs Botnet that Infected 9 Million PCs Worldwide MS는 전 세계 900만대의 PC들을 감염시킨 Necurs 봇넷 네트워크를 성공적으로 차단했다고 밝혔습니다. 이 봇넷의 차단은 35개 국가의 경찰과 민간기술회사들의 협력의 성과입니다. 연구원들이 Necurs 악성코드가 사용하고 있는 도메인 생성 알고리즘(DGA)를 알아내어 차단에 성공할 수 있었습니다. DGA는 주기적으로 새로운 도메인을 만들어 내는 기술로, 배후에 있는 악성코드 제작자들이 끊임없이 C&C서버의 위치를 바꾸고 감염된 디바이스들과 끊임없이 통신할 수 있도록 도와줍니다. MS는 "우리는 이후 25 개월 내에 생성 될 6 백만 개 이상의 고유 한 도메인을 정확하게 예측할..

국내외 보안동향 2020. 3. 11. 15:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 08월 05일, 납세서 송장으로 위장한 악성 이메일이 국내 기업에 복수적으로 전파된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 납세서 송장으로 위장한 악성 메일 이번에 발견된 악성 메일은 한국 도메인에서 발송되어 유포되고 있습니다. 피싱 메일에는 "첨부 된 납세서 송장보기"라는 내용으로 간단하게 작성되어 있으며, 마지막에는 "감사"라는 멘트로 보아 다소 어눌한 한국어 표현 사용한 것이 특징입니다. 또한, 악성 행위를 하는 실행파일을 포함한 RAR 파일을 첨부했는데, RAR 내부에 ISO 파일로 이중 압축하여 보안 기능을 최대한 회피하려 시도하였습니다. [그림 2] RAR파일 안의 ISO 파일로 이중압축한 악성파..

악성코드 분석 리포트 2019. 8. 5. 10:17

New Mirai botnet hides C2 server in the Tor network to prevent takedowns 트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다. 연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다. 미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다. 미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났..

국내외 보안동향 2019. 8. 2. 10:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 24일) 공정 부적합 사례 내용으로 위장하고 국내 중소기업을 사칭한 악성 이메일이 유포된 정황이 포착되었습니다. 이번에 발견된 피싱 메일에는 특이하게, 메일 제목에 "봉개, 한림, 서귀포"라는 제주도의 지역명을 사용했습니다. [그림 1] 공정 부적합 사례를 위장한 피싱 메일 해당 메일을 받은 사용자가 첨부된 대용량 파일의 내용을 확인하기 위해 클릭하면 다음과 같이 악성 ACE 파일 및 ZIP 파일이 다운로드 됩니다. [그림 2] 피싱 메일에 첨부된 대용량 파일 다운로드 화면 다운로드한 ACE 파일 및 ZIP 파일을 압축 해제하면 아래의 악성 실행 파일을 확인하실 수 있습니다. [그림 3] 압축 파일 안의 악성 실행 파일..

악성코드 분석 리포트 2019. 6. 24. 18:00