안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(18일) 새벽 국내 불특정다수의 사용자에게 스팸메일로 위장한 크립토재킹 공격이 시도된 정황이 포착되었습니다. 크립토재킹이란 암호화폐를 뜻하는 ‘Cryptocurrency’와 납치를 뜻하는 ‘Hijacking’을 합친 신조어로 사용자의 PC나 스마트폰 자원을 사용자 모르게 암호화폐 채굴에 이용하여 부당이득을 취하는 공격을 뜻합니다. 해당 스팸메일은 주식관련 내용 문구로 위장하고 있으며, 해당 스팸메일 내부에는 코인하이브 코인 채굴코드가 포함되어 있어 크립토재킹 공격을 시도합니다. 일부 사용자들의 경우 공격자의 실수로 html 태그가 잘못 사용되어 코드가 그대로 노출된 이메일을 수신하기도 하였습니다. 해당 메일에 포함되어 있는 링크를 클릭하면..

악성코드 분석 리포트 2018. 9. 19. 08:54

Nearly 400 Drupal sites infected with malware that secretly mines cryptocurrency Bad Packets Report의 보안연구원 Troy Mursch는 구버전의 Drupal을 사용하는 홈페이지들이 해커들의 공격을 받은것을 발견하였습니다. 이번 공격은 약 400여개의 홈페이지를 감염시켰으며, 주로 미국 정부기관및 교육기관을 타겟으로 하였으며, 많은 과학기술관련 홈페이지도 해당 악성코드에 감염되었습니다. Mursch가 수집한 감염 홈페이지 목록 중에는 미국국가노동관계위원회(NLRB), 중국 리노보, 대만의 하드웨어 제조업체인 D-Link 및 UCLA도 포함되어 있었습니다. 미국, 모스크바, 터키, 페루, 남아프리카 및 이탈리아 홈페이지들도 공격을..

국내외 보안동향 2018. 5. 14. 16:49

SCADA 시스템을 기반으로 하는 채굴 악성코드 공격이 발견되었습니다. Radiflow 연구원들은 모네로 화폐 채굴을 위해 수도 사업소의 OT(Operational Technology, 운영기술) 네트워크를 공격하는 악성코드에 대해 분석했습니다. 해당 악성코드는 네트워크 장비의 숨김 모드 상태에서 실행되도록 제작되었고 공격 대상 장비의 보안 툴 기능도 무력화시켜 채굴 작업을 가능한 오래 지속시킵니다. 이제까지는 OT 네트워크의 위협으로 랜섬웨어 공격이 주를 이루었지만, 앞으로는 이 새로운 채굴 악성코드가 OT 네트워크에 더욱 위협이 될 것으로 우려됩니다. 분석을 통해 발견된 감염 증상으로는 비정상적인 HTTP 통신, OT 네트워크의 토폴로지 변경, 악성 IP 연결 시도 등이 있습니다. 출처 :https:..

국내외 보안동향 2018. 2. 9. 11:00

최근 52.6만대로 이루어진 모네로 채굴 봇넷이 발견되었습니다. 이는 지금까지 발견된 봇넷 규모중 가장 큰 규모로, 이전에 다양한 보고서에서 공개된 것들은 채굴 활동의 일부분이었을 것으로 추정됩니다. Proofpoint과 360 및 기타 업체들은 이 봇넷에 대해 보고서를 발표하였습니다. 지금까지 Smominru의 수익은 약 360만 달러로 추정됩니다. 지금까지 공개된 보고서를 보면, Smominru 봇넷에 감염된 PC들은 이미 52만대가 넘었으며, 공격자들은 이 봇넷들을 통하여 8900개의 모네로를 채굴하였다고 밝혔습니다. Smominru 봇넷 조종자는 다양한 기술을 통하여 호스트들을 감염시키며, 주로 "Eternal Blue(CVE-2017-0144)"를 이용하며, 일부는 EsteemAudit(CVE-..

국내외 보안동향 2018. 2. 6. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 작년 12월 말부터 한국의 여러 기관과 기업을 상대로 비너스락커(Venus Locker)와 오토크립터(Auto Cryptor) 랜섬웨어를 유포했던 공격자가 최근들어 또 다시 한국 맞춤형 스피어 피싱(Spear Phishing) 공격을 수행하고 있습니다. 이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있습니다. ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 ▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! ▶ ‘이젠 유명 단체 사칭..

악성코드 분석 리포트 2017. 12. 5. 13:39

中国电信客户端中毒被用来挖矿 官方：已紧急修复 최근, China Telecom jiangsu지사 홈페이지 pre.f-young.cn에서 제공되는 "tianyixiaoyuan(天翼校园) client"가 악성코드에 감염된 것이 확인되었습니다. 해당 악성코드에 감염되면, 원격에서 해커의 지령을 받아 PC를 끊임없이 새로고침하여 광고 트래픽을 대량으로 발생시키며, 가상화폐 모네로를 채굴합니다. 관련 이슈가 커지자, 11월 3일, China Telecom은 공식 블로그를 통해 입장을 밝혔습니다. 11월 2일, China Telecom은 일부 tianyixiaoyuan(天翼校园) 클라이언트가 악성코드에 감염된 것을 발견하였습니다. 악성코드는 감염된 클라이언트에서 트래픽 탈취, 사용자 PC자원을 이용한 가상화폐 채굴 등..

국내외 보안동향 2017. 11. 8. 15:42