Criminals Exploit Pandemic with Brute-Force RDP Attacks ESET의 연구원들이 RDP 기반 해킹 공격이 지난 몇 달간 급증하고 있다고 경고했습니다. 이들은 RDP를 악용하는 브루트포싱 공격 시도 횟수가 증가했으며, 사이버 범죄자들은 이를 통해 랜섬웨어를 배포한다고 밝혔습니다. RDP(원격 데스크톱 프로토콜)은 네트워크 외부에서 윈도우에 접속하는데 사용하는 마이크로소프트의 독점 프로토콜입니다. ESET은 여러 회사에서 적절한 보안장치 없이 RDP 포트를 오픈한 상태로 방치하고 있다고 밝혔습니다. 이러한 상황은 악성코드 감염으로 이어질 수 있습니다. ESET은 RDP 공격이 증가하는 상황을 코로나19 팬데믹 상황과 연결 지었습니다. 많은 직원들이 집에서 회사 네트워..

국내외 보안동향 2020. 6. 30. 09:58

▶ 위협 배경 안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 미국 마이크로소프트(MS)사는 작년 12월 말, 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 전한 바 있습니다. Microsoft takes court action against fourth nation-state cybercrime grouphttps://blogs.microsoft.com/on-the-issues/2019/12/30/microsoft-court-action-against-nation-state-cybercrime/ 특정 정부와 연계된 것으로 알려진 탈륨이라는 해킹 그룹명은 김수키라는 조직명으로도 널리 알려져 있습니다. 이들 조직은 최근까지도 'Windows ..

악성코드 분석 리포트 2020. 6. 30. 09:09

New ransomware masquerades as COVID-19 contact-tracing app on your Android device 코로나 바이러스 팬데믹 상황을 악용한 새로운 랜섬웨어 변종이 배포되고 있습니다. ESET 연구원들은 이 랜섬웨어가 캐나다 정부(Health Canada)에서 접촉자 추적 조사 앱인 ‘COVID Alert’를 개발하겠다고 발표한지 단 며칠 후부터 시작되었다고 밝혔습니다. 공식 앱은 최소 다음 달 초 사용자들에게 공개될 예정이었지만 사이버 공격자들은 이러한 정부 발표를 악용하여 캐나다의 공식 코로나19 접촉자 추적 조사 앱으로 위장한 악성 안드로이드 앱을 배포하기 시작했습니다. ESET은 Health Canada의 추정 앱으로 위장한 악성 앱이 웹사이트 2곳에서 ..

국내외 보안동향 2020. 6. 25. 14:30

A new variant of the IcedID banking Trojan spreads using COVID-19 lures 새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다. Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다. 사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다. IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융..

국내외 보안동향 2020. 6. 23. 10:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 공격자들이 가장 애용하는 모바일 기기 공격 기법일 것입니다. 더불어 코로나19의 창궐로 인한 언택트의 확산으로 급증한 택배 문자가 공격자들에게는 좋은 공격 방법이 되었습니다. 코로나19 사태 초기의 스미싱 공격은 코로나19 관련 이슈가 주를 이루었지만 강력한 사회적 거리 두기의 시행에 따라 택배 문자가 급증하게 되자 공격자들도 이에 편승하여 택배를 사칭하는 스미싱 공격을 시도하고 있습니다. [그림] 악성 앱 설치 및 실행 화면 사용자가 스미싱 공격을 통해 악성 앱을 설치하게 되면 개인 정보가 탈취되고 연락처에 존재하는 지인들에게도 스미싱 공격 문자가 전달되는 피해를 입을 수도 있습니다. 따라서 피해를 입기 전 예방하는 것이 ..

악성코드 분석 리포트 2020. 6. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 하반기 발견된 Nemty 램섬웨어는 최근까지 이력서를 위장하여 기업으로 다량 유포되었습니다. 최근 세계적으로 코로나19 전파되고 있는 가운데 공격자는 이를 이용하여 사용자로 하여금 공격을 유도합니다. 그뿐만 아니라 기존과 다르게 코드를 변화시켜 백신 탐지 우회를 시도하였습니다. [그림] 파일 암호화 완료 후 바탕화면 변경 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 해당 랜섬웨어는 2019년 하반기부터 유포되었던 Nemty 랜섬웨어의 변종으로써 필요한 데이터와 감염 PC 정보 등을 저장하는 레지스트리가 동일합니다. 추가적으로 뮤텍스 값 등에서 러시아어를 이..

악성코드 분석 리포트 2020. 6. 16. 15:15

New [F]Unicorn ransomware hits Italy via fake COVID-19 infection map 코로나19 바이러스 확산 추세를 악용해 접촉자 추적 앱으로 위장된 [F]Unicorn 랜섬웨어가 유포되었습니다. 해커들은 이탈리아 사용자들을 대상으로 코로나19 감염 정보 실시간 업데이트를 제공하고 사용자를 속여 가짜 앱을 다운로드하도록 만들었습니다. 또한 이탈리아 약사 연맹 (FOFI)이라는 기관명을 사용함으로써 신뢰성을 높임으로써 사용자가 악성 실행 파일을 클릭하도록 유도했습니다. 해당 랜섬웨어는 "Immuni"라는 이름의 접촉자 추적 앱으로 위장해 이탈리아 사용자들의 휴대전화를 감염시켰습니다. 조사 결과, 해당 이메일에는 코로나19 바이러스 확산을 막기 위해 "Immuni" 접..

국내외 보안동향 2020. 5. 27. 17:51

QNodeService Trojan spreads via fake COVID-19 tax relief 연구원들이 코로나19 관련 주제를 사용하는 피싱 캠페인에서 새로운 악성코드인 QNodeService를 발견했습니다. 이들은 미끼를 통해 세금 감면을 해주겠다고 사용자를 속였습니다. 이 피싱 메시지는 트로이목마를 포함하는 “Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar”파일을 사용했습니다. 트렌드마이크로는 QNodeService 트로이목마가 Node.js로 작성되었으며 .jar 파일에 내장된 Java 다운로더를 통해 배포된다고 경고했습니다. Node.js는 주로 웹 서버 개발용으로 설계되었으며 공격 대상이 될 기기에 미리 설치되지 않을 것이기 때문에..

국내외 보안동향 2020. 5. 18. 14:30