New Buran ransomware-as-a-service tempts criminals with discount licenses VegaLocker 랜섬웨어 변종이 새로운 서비스형 랜섬웨어(RaaS)인 Buran을 위한 기반을 제공하고 있습니다. Buran은 가격 할인을 통해 범죄자들을 끌어들이고 있습니다. McAfee의 연구원에 따르면, Buran 랜섬웨어는 2019년 처음 발견된 이후, 현재는 REVil, Phobos와 함께 RaaS 랭킹에 진입했습니다. 러시아 포럼에서 처음으로 공개된 Buran의 운영자들은 범죄자 고객들과 개인적 친분을 쌓는데 중점을 둔 것으로 보입니다. Buran 서비스형 랜섬웨어(RaaS) 운영자들은 대게 랜섬머니 수익의 25%를 요구하는데, 일반적으로 랜섬머니의 30~40..

국내외 보안동향 2019. 11. 12. 15:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2019년 03월 20일 한국의 공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지 등이 복수로 해킹되어 악성코드를 은밀히 유포 시도하는 정황이 포착되었습니다. 해당 웹 사이트들은 외교·안보·통일분야에 소속되어 있거나, 북한관련 연구분야에 종사하는 사람들이 제한적으로 접속하는 곳들입니다. ESRC는 해당 웹 사이트에 악의적인 취약점 코드가 삽입되어 있는 것을 확인했고, 식별되지 않은 다른 사이트에서도 유사위협 발생 가능성을 배제하지 않고 있습니다. ■ 김수키(Kimsuky) APT 그룹, '오퍼레이션 로우 킥(Operation Low Kick)' ESRC에서는 이번 특정 웹 사이트들의 침해 사고들이 ..

악성코드 분석 리포트 2019. 3. 21. 02:16

New SLUB Backdoor Uses Slack, GitHub as Communication Channels GitHub Gist 서비스와 Slack 메시징 시스템을 통신 채널로 사용하며 워터링 홀 공격을 통해 특정 공격자들만을 노리는 새로운 백도어가 발견되었습니다. ※ 워터링홀 공격 육식동물인 사자가 초식동물 사슴 등을 습격하기 위해 물웅덩이(Watering Hole) 근처에서 매복하고 있는 형상을 상징적으로 표현한 사이버 공격으로 사전에 공격 대상에 대한 정보를 확보해, 관련 분야의 웹 사이트를 해킹하고, 웹 사이트에 악의적인 취약점(Exploit) 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격 ※ 관련글보기 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Op..

국내외 보안동향 2019. 3. 8. 11:18

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 성인광고 서버를 통해 Fallout Exploit Kit이 유포 되어 최신 보안업데이트가 제대로 이루어지지 않은 PC에서 해당 웹사이트를 방문 할 시 “갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드”에 감염 될 수 있는 내용이 쓰렛인사이드(Threat Inside)를 통해 확인 되어 주의를 당부 드립니다. [그림 1] 성인광고 페이지 이미지 이번에 발견 된 멀버타이징에 사용 된 Fallout Exploit Kit은 사용자의 브라우저 프로필을 검사하여 조건에 부합 할 경우 악성 콘텐츠로 연결하게 됩니다. 조건에 맞는 사용자에게는 302 리다이렉션을 통해 광고 페이지가 아닌 Fallout Exploit Kit 랜딩 페이지로 접..

악성코드 분석 리포트 2018. 10. 25. 15:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 악성코드 유포가 확인되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다. [그림 1] 해당 사이트에 삽입 된 악성 스크립트 코드 화면 취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가..

악성코드 분석 리포트 2018. 10. 19. 18:01

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유명 국내 게임 공략 사이트 게시판에서 원격제어 기능과 MBR 파괴 기능이 있는 악성코드가 유포되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트 게시판에는 실제 게임과 관련 없는 내용으로 영화와 성인사이트로 위장 된 링크를 기재하여 게시판 사용자들의 클릭을 유도하고 있습니다. [그림 1] 게임 공략 사이트에 기재된 게시글 이미지 취약한 윈도우 및 소프트웨어를 사용 중인 게시판 사용자가 호기심에 해당 사이트를 클릭 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 08월..

악성코드 분석 리포트 2018. 9. 5. 17:08

최근 VBScript 엔진 내의 취약점이 Darkhotel APT에 악용되었습니다. VBScript는 Windows와 IE11의 최신 버전에서 사용 가능합니다.하지만 최신 버전의 윈도우의 브라우저 기본설정에서는 VBScript가 비활성화 되어있는데, 이는 취약점이 악용되는것을 막기 위한것입니다. MS는 7월 정기 보안업데이트 하루 이후에 VBScript 취약점이 악용되고 있다는 사실을 확인하였습니다. 이 취약은 CVE-2018-8373으로, 8월 정기 보안업데이트때 패치가 되었습니다. 해당 취약점은 메모리 손상 취약점으로, 공격자가 취약점이 존재하는 PC에서 shellcode를 실행시킬 수 있도록 허용합니다. 코드분석결과, 5월에 패치되었던 오래된 VBScript취약점인 CVE-2018-8174가 사용한..

국내외 보안동향 2018. 8. 22. 13:47

That IE Zero-Day From May Needed a Second Patch in July 2주 전 발행 된 7월의 ‘패치 화요일’에 IE 제로데이의 두 번째 패치가 포함 되었습니다. 이 제로데이는 마이크로소프트가 지난 5월 이미 한번 수정했었습니다. 이 오리지널 제로데이 취약점은 VBScript 엔진 취약점으로 IE를 통해 악용될 수 있으며 CVE-2018-8174로 등록 되었습니다. 이는 아시아의 조직들을 노리는 사이버 간첩 캠페인에 사용 되었습니다. 패치가 되고 PoC 코드가 공개된 후, 악성코드 배포 캠페인들과 익스플로잇 키트에도 추가 되었습니다. 이제는 악성코드 개발자들 사이에서 매우 인기가 좋은 취약점이 되었습니다. 2차 문제 발견 돼 금일 Qihoo 360 Core 팀은 마이크로소프..

국내외 보안동향 2018. 7. 25. 09:40