A new variant of the IcedID banking Trojan spreads using COVID-19 lures 새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다. Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다. 사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다. IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융..

국내외 보안동향 2020. 6. 23. 10:27

Attackers Hide Backdoors and Cryptominers in WAV Audio Files 새로운 악성 캠페인을 실행하는 공격자들이 WAV 오디오 파일을 사용해 타깃 시스템에 백도어와 모네로 크립토마이너를 숨기고 드롭하는 것으로 나타났습니다. 과거에는 스테가노그라피 기술을 사용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 방식 대부분이었는데, 오디오 파일을 악용한 것이 발견된 것은 이번이 두 번째 입니다. 지난 6월, 러시아의 지원을 받는 Turla 그룹(a.k.a Waterbug, Venomous Bear)이 Metasploit Meterpreter 백도어를 WAV 트랙에 내장시켜 해킹된 피해자의 컴퓨터에 드롭한 것을 발견되었습니다. 잘 보이는 곳에 숨겨져 있는 크립토마이너..

국내외 보안동향 2019. 10. 17. 16:29

Ursnif: Long Live the Steganography and AtomBombing! 이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다. Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다. ..

국내외 보안동향 2019. 2. 11. 13:46

Using steganography to obfuscate PDF exploits EdgeSpot의 연구원들이 최근 악성 JavaScript 코드를 PDF 내 이미지에 숨기는 스테가노그라피 기술을 사용하는 PDF 익스플로잇을 발견했다고 밝혔습니다. 연구원들은 이 기술이 매우 강력해 거의 모든 안티바이러스 엔진을 우회할 수 있었다고 밝혔습니다. 공격자들이 안티 바이러스 소프트웨어의 탐지를 우회하는데 특수하게 제작한 PDF 문서를 사용하는 것으로 나타났습니다. 전문가들은 분석한 샘플이 바이러스 토털에서 2017년 10월 처음으로 발견 되었으나, 지난 주 확인 결과 탐지 율은 매우 낮아 단 하나의 안티바이러스 엔진만이 이를 탐지하고 있었다고 밝혔습니다. 이 샘플은 난독화 레이어 2개를 사용하고 있었습니다. 첫..

국내외 보안동향 2019. 1. 29. 08:43