VMware Cloud Director flaw lets hackers take over virtual datacenters VMware Cloud Director 10.1.0 이전 버전용 시험 계정을 제공하는 조직은 가상 인프라의 개인 클라우드가 노출될 위험이 있는 것으로 나타났습니다. 공격자가 이를 악용할 경우 개인 클라우드를 완전히 탈취할 수 있습니다. VMware는 보안 권고를 발행해 VMware Cloud Director (vCloud Director) 버전 10.0.0.2, 9.7.0.5, 9.5.0.6, 9.1.0.4에 코드 인젝션 취약점이 존재하며, 원격 코드 실행으로 이어질 수 있다고 밝혔습니다. Cloud Director 소프트웨어는 전 세계의 클라우드 서비스 제공 업체에서 클라우드 환..

국내외 보안동향 2020. 6. 3. 14:30

JSWorm: The 4th Version of the Infamous Ransomware 악명 높은 JSWorm 랜섬웨어가 버전 4로 업그레이드되었습니다. 이름은 자바스크립트와 웜을 연상시키지만, 이 악성코드는 앞서 언급한 두 가지와는 관련이 없습니다. 기술적 분석 JSWorm은 모든 사용자 파일을 암호화 후 새로운 확장자를 붙이는데, 다른 랜섬웨어들과 달리, 이 확장자는 많은 정보를 포함하고 있습니다. 파일이 암호화되면 "파일명.[원래 확장자].[감염 ID][공격자 이메일].JSWRM"과 같은 형식으로 파일명이 변경됩니다. [그림 1] 감염 ID와 Email 연락처 랜섬노트에는 블랙리스트에 추가될 경우 사용할 수 있는 백업 이메일(symmetries0@tutanota.com)이 포함되어 있습니다. 암..

국내외 보안동향 2019. 9. 6. 08:59

Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites 공격자들이 악성코드 배포 방식으로 해킹된 사이트의 콘텐츠 위에 가짜 Q&A 포럼을 오버레이하는 새로운 배포 방식을 생각해 냈습니다. Sodinokibi 랜섬웨어 배포자는 워드프레스 사이트 다수를 해킹하여 원래 사이트의 콘텐츠 위에 가짜 Q&A 포럼 포스트를 표시하는 JavaScript를 주입하고 있는 것으로 나타났습니다. 가짜 포스트에는 사이트 관리자의 답변이 달려있는데, 여기에는 랜섬웨어 인스톨러로 연결되는 링크가 포함되어 있었습니다. 이 가짜 포럼 포스트는 관리자가 제공한 답변 및 링크가 진짜처럼 보이게 하기 위해 사용자가 방문한 페이지 내용과 관련된 정보를 포함했습니다. 그러나, 다운로드한..

국내외 보안동향 2019. 9. 3. 10:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다. 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다. [그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면..

악성코드 분석 리포트 2019. 6. 21. 16:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 06월 03일), TA505 그룹이 악성 HTML 파일을 포함한 피싱 메일이 대량으로 유포하고 있어 사용자들의 주의가 필요합니다. 금일 발견된 악성 피싱 메일은 중소기업을 사칭한 거래 내역서, 견적서, 영수증 등의 다양한 내용을 담고 있으며, HTML 또는 HTM 파일을 첨부했습니다. [그림 1] TA505 그룹이 유포한 다양한 악성 피싱 메일 악성 피싱 메일에 첨부된 html 및 htm 파일은 "2019+MM+DD_랜덤숫자 6자리" 형태이며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다. [그림 2] 악성 Excel 파일 다운로드 경로 사용자가 다운로드 된 ..

악성코드 분석 리포트 2019. 6. 3. 11:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 FYI 제목으로 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. FYI는 "For your information"의 줄임말로, "참고하세요"라는 뜻을 가지고 있습니다. 보편적으로 외국에서 업무 관련하여 이메일 전달 시 많이 사용하고 있는 단어이지만 국내에서는 생소한 단어일 수 있습니다. 이번에 발견된 메일에서는 BL Copy.html, Packing List.html 같이 선하증권 또는 포장명세서로 위장된 첨부 파일이 확인되었습니다. [그림1] FYI 제목으로 유포 된 이메일 화면 첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 [Microsoft Excel 2016 로그인 요청 화면]이 보여지게 됩..

악성코드 분석 리포트 2019. 5. 31. 14:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 30일), 국세청을 사칭하고 '송장'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있어 세금계산서 담당자 및 기업의 회계 담당자분들의 주의가 필요합니다. 해당 악성 메일에는 국세청 홈택스에서 보낸 것처럼 "국세청 전자[세금]계산서" 발급 안내 이미지를 포함하고 있으며, 첨부파일 또한 "eTaxInvoice"라는 이름으로 사용자가 별다른 의심 없이 첨부파일을 다운로드할 가능성이 높습니다. ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직이 유포하는 악성 메일 내용이 더욱 정교해지고 있습니다. [그림 1] 국세청 인보이스를 사칭한 악성 피싱 메일 이번에 발견된 악..

악성코드 분석 리포트 2019. 5. 30. 10:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 04월 15일) 대우조선해양으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. [그림 1] 대우조선해양을 사칭한 피싱 메일 이 피싱 메일에는 “...DSME INQUIRY...” 제목의 대우조선해양 견적참여 요청이라는 내용이 들어있으며, HTML 형태의 파일이 첨부되어 있습니다. [피싱 메일 본문 내용]DSME]대우조선해양에서 견적참여 요청첨부 파일을 열어주세요 견적의뢰번호: KR5564300견적 마감일: 2018.10.22https://icops.dsme.co.kr 사용자가 만약 HTML 파일을 실행하면 다음과 같이 코리아닷컴 페이지를 위장한 피싱 페이지가 열리게 됩니다. [그림 2] 코리아닷컴을 위장한 피싱 페이..

악성코드 분석 리포트 2019. 4. 15. 11:17