New PipeMon malware uses Windows print processors for persistence 비디오 게임 회사들이 Winnti 또다시 해킹 그룹의 공격을 받고 있습니다. 이들은 PipeMon이라는 악성코드를 사용하고 지속성을 달성하기 위한 새로운 방법을 사용합니다. PipeMon은 모듈형 백도어로 올해 초 MMO 게임 개발사 다수의 서버에서 발견되었습니다. 과거 활동 Winnti 그룹의 활동은 2011년부터 탐지되기 시작했습니다. 피해자 대부분은 비디오게임 및 소프트웨어 업계였으나 일부 의료 및 교육 부문을 노렸습니다. 이 공격자들은 공급망 공격으로 잘 알려져 있습니다. 사용자 수백만이 넘는 소프트웨어와 (Asus LiveUpdate, CCleaner) 금융 부문에 (NetSar..

국내외 보안동향 2020. 5. 22. 14:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. [그림 1] 악성 xls 파일을 첨부한 스팸 메일 [그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일 악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다. 해당 메일을 받은 사용자가 호기심에 첨부된 엑..

악성코드 분석 리포트 2019. 10. 17. 17:11

New Dridex Variant Slips By Anti-Virus Detection 안티 바이러스 탐지 우회 전략을 사용하는 새로운 Dridex 변종이 피싱 이메일에서 발견되었습니다. 이 변종은 안티바이러스 소프트웨어가 탐지하기 어려운 파일 서명을 사용하여 감염된 기기에서 악성 코드탐지를 우회합니다. 전문가는 새로운 기술을 탐지하는 기술이 발전할수록 공격자 또한 새로운 탐지 기술을 우회하기 위해 공격 툴을 업데이트한다며, 공격자와 방어자 사이에서 발생하는 "고양이와 쥐의 끊임없는 게임"이라 밝혔습니다. 2011년 처음 등장한 Dridex는 거의 10년 만에 처음으로 변형되었습니다. 연구원들은 이 악성코드가 매크로가 내장된 악성 문서의 형태로 배포된다고 전했습니다. 일단 Dridex 악성코드가 피해자 ..

국내외 보안동향 2019. 7. 1. 11:02

Security Flaw in Pre-Installed Dell Support Software Affects Million of Computers 수백만 대의 DELL 랩톱 및 PC에 탑재되어 출시되는 SupportAssist 유틸리티에서 권한 상승 및 민감 정보에 접근 가능한 보안 취약점이 발견되었습니다. 이 취약점은 CVE-2019-12280로 등록되었으며, 델의 비즈니스 PC 2.0 버전, 홈 PC 3.2.1 버전 및 이전 버전의 SupportAssist 어플리케이션에 존재합니다. Dell의 SupportAssist(구 Dell System Detect)는 시스템 하드웨어와 소프트웨어의 상태를 체크하여 문제 발생 시, 적절한 조치를 취할 수 있도록 도와주는 프로그램입니다. 이 유틸리티는 SYSTEM..

국내외 보안동향 2019. 6. 24. 15:28

DLL 인젝션 공격이 가능한 윈도우 인스톨 취약점 주의!ダウンロードフォルダーからのインストールは危険、JVNが注意喚起 최근 JVN(Japan Vulnerability Notes)는 Windows 프로그램에 DLL 인젝션 공격을 시도할 수 있는 취약점이 다수 발견되었다며 사용자들의 주의를 당부하였습니다. DLL 인젝션 공격은 사용자가 프로그램을 실행할 때 정상 DLL이 아닌, 공격자가 악의적으로 만들어 놓은 DLL을 로드하여 악성행위를 하도록 하는 공격방법입니다. Windows는 프로그램의 실행파일과 같은 폴더에 읽어들이려고 하는 DLL 파일과 동일한 파일명을 가진 파일이 있다면, 해당 DLL 파일을 우선적으로 읽습니다. 만약 공격자가 악의적으로 만든 DLL 파일이 실행파일과 같은 폴더에 위치하게 되면 파일이..

국내외 보안동향 2017. 5. 29. 14:30