Popular NPM library hijacked to install password-stealers, miners 해커가 매주 수백만 회 다운로드되는 인기 UA-Parser-JS NPM 라이브러리를 하이재킹했습니다. 공급망 공격을 통해 리눅스와 윈도우 기기를 크립토마이너와 패스워드 스틸러 트로이 목마에 감염시키기 위함이었습니다. UA-Parser-JS 라이브러리는 방문자의 브라우저, 엔진, OS, CPU, 기기 유형/모델을 식별하기 위해 브라우저의 사용자 에이전트를 파싱하는데 사용됩니다. 이 라이브러리는 엄청난 인기를 자랑합니다. 현재까지 매주 수백만 회 다운로드되었으며, 이번 달만 2,400만 건 이상 다운로드되었습니다. 또한 이 라이브러리는 Facebook, Microsoft, Amazon, In..

국내외 보안동향 2021. 10. 25. 09:00

SkidMap病毒利用Redis未授权访问漏洞攻击，数千台云主机沦为矿机 SkidMap 악성코드가 Redis 무단 액세스 취약점을 이용하여 클라우드 호스트에 침입하는 것으로 나타났습니다. 2019년 9월 발견된 Skidmap은 탐지를 피하기 위해 커널 모드 루트킷을 활용하는 리눅스 가상화폐 마이너입니다. SkidMap 악성코드는 감염 후 XMRig(모네로 마이닝 트로이목마), cpuminer(라이트코인 및 비트코인 마이닝 트로이목마)를 다운로드하여 이익 창출을 목표로 합니다. 또한 감염된 호스트에 대한 원격 제어를 유지하기 위해 SSH 백도어 공개키를 추가합니다. 그리고 악성 프로그램 패키지 gold8[.]tar[.]gz를 다운로드하여 여러 모듈을 해제하고 채굴 과정을 완료합니다. SkidMap와 다른 마이너의..

국내외 보안동향 2021. 4. 29. 15:00

New worm turns Windows, Linux servers into Monero miners 12월 초부터 윈도우와 리눅스 서버에 XMRig 가상화폐 채굴기를 활발히 확산시키는 자가 확산 Golang 기반 악성코드가 발견되었습니다. Intezer의 보안 연구원인 Avigayil Mechtinger에 따르면, 이 멀티플랫폼 악성코드는 브루트포싱을 통해 취약한 패스워드로 보호된 인터넷에 연결된 다른 시스템에(MySQL, Tomcat, Jenkins, WebLogic) 확산되는 웜 기능 또한 포함하고 있었습니다. 이 캠페인의 배후에 있는 공격자들은 이 악성코드가 처음 발견된 이래로 명령 및 제어 서버를 통해 지속적으로 웜 기능을 업데이트하고 있었습니다. 이는 공격자가 해당 악성코드를 적극적으로 관리한..

국내외 보안동향 2020. 12. 31. 09:16

This botnet has surged back into action spreading a new ransomware campaign via phishing emails 지난 한 달 동안 악명 높은 봇넷 캠페인의 활동이 급격히 증가했습니다. 사이버 범죄자들은 이 캠페인을 통해 다른 악성코드와 함께 랜섬웨어 캠페인을 배포하고 있는 것으로 나타났습니다. Check Point의 연구원들은 2020년 6월 Most Wanted Malware 보고서를 통해 Phorpiex 봇넷을 이용한 공격이 급격히 증가한 것을 확인했다고 밝혔습니다. Phorpiex는 악성코드 다수와 대규모 섹스토션 이메일 캠페인을 포함한 스팸 캠페인을 배포하는 것으로 알려져 있습니다. 하지만 지난 5월과 비교했을 때 6월 한 달간 탐지 수가..

국내외 보안동향 2020. 7. 14. 09:51

Malicious USB Drives Infect 35,000 Computers With Crypto-Mining Botnet 지난 목요일 ESET 사이버 보안 연구원들은 최소 3만 5천 대의 해킹된 윈도우 시스템으로 구성된 악성 봇넷 중 일부를 중단시켰다고 밝혔습니다. 공격자는 이들을 모네로 가상화폐를 채굴하는데 이용했습니다. "VictoryGate"라 명명된 이 봇넷은 지난 2019년 5월부터 활성화되었으며 라틴 아메리카를 주로 노렸습니다. 특히 페루를 집중적으로 노려 해킹된 기기 전체의 90%가 페루에 위치한 상태였습니다. 이 봇넷의 주요 활동은 모네로 가상 화폐를 채굴하는 것이었습니다. 금융 기관을 포함한 공공 및 민간 조직에서 피해자가 발생했습니다. ESET은 동적 DNS 공급 업체인 No-IP..

국내외 보안동향 2020. 4. 27. 15:00

Attackers Hide Backdoors and Cryptominers in WAV Audio Files 새로운 악성 캠페인을 실행하는 공격자들이 WAV 오디오 파일을 사용해 타깃 시스템에 백도어와 모네로 크립토마이너를 숨기고 드롭하는 것으로 나타났습니다. 과거에는 스테가노그라피 기술을 사용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 방식 대부분이었는데, 오디오 파일을 악용한 것이 발견된 것은 이번이 두 번째 입니다. 지난 6월, 러시아의 지원을 받는 Turla 그룹(a.k.a Waterbug, Venomous Bear)이 Metasploit Meterpreter 백도어를 WAV 트랙에 내장시켜 해킹된 피해자의 컴퓨터에 드롭한 것을 발견되었습니다. 잘 보이는 곳에 숨겨져 있는 크립토마이너..

국내외 보안동향 2019. 10. 17. 16:29

APAC Windows Servers Targeted by a New InfoStealer and Cryptomining Campaign CheckPoint의 보고에 의하면, 아시아 태평양 지역의 Windows 서버를 대상으로 한 공격수가 급증하고 있다고 합니다. 연구원들은 감염된 장비에 대한 다른 기술적인 세부사항뿐만 아니라 Windows 사용자의 로그인 자격 증명을 업로드하는 데 효과적인 툴에 기초한 새로운 악성 프로그램 캠페인을 발견했습니다. CheckPoint가 분석한 배치 파일에는 공격자가 보안 툴에 의한 검출을 피할 수 있도록 도와주는 "Regsvr32" 프록시 실행 프로그램, 파워쉘 다운로드 크래들(cradle)이 있습니다. 사용자 데이터의 도용은 Mimikatz를 통해 이루어지고 FTP 서..

국내외 보안동향 2019. 3. 6. 16:49

PyRoMineIoT spreads via EternalRomance exploit and targets targets IoT devices in Iran and Saudi Arabia 연구원들이 확산을 위해 NSA와 관련 된 EternalRomance 익스플로잇을 악용하는 새로운 가상화폐 채굴 변종인 PyRoMineIoT를 발견했습니다. PyRoMineIoT는 몇 주 전 발견 된 PyRoMine이라는 가상화폐 채굴기와 꽤 유사합니다. 이는 4월달에 감염이 급증 하였고, 대부분이 가포르, 인도, 대만, 코트 디부 아르, 호주에서 발견 되었습니다. 연구원들에 따르면, 구 버전의 채굴기는 난독화 기능을 추가해 더욱 개선되었습니다. 최신 PyRoMine은 동일한 IP주소인 212[.]83.190[.]122에서..

국내외 보안동향 2018. 6. 14. 14:18