안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 서버 관리자를 사칭하여 계정정보 탈취를 시도하는 공격이 발견되어 관련자 여러분들의 각별한 주의가 필요합니다. 이번에 발견된 공격은 국방 관련 부처를 타깃으로 진행되었으며, 마치 서버에서 알림으로 발송된 것처럼 위장하였습니다. 해당 메일은 국방 관련 부처 직원들을 대상으로 발송되었으며, [보류 중인 메세지를 받은 편지함으로 해제] 링크를 클릭하면 계정정보를 입력하는 피싱 페이지로 이동합니다. 피싱 페이지의 경우, 계정입력란 상단에 이미지 해상도가 맞지 않아 깨져보이며 '기억하다 나'와 같은 어색한 문구가 포함되어 있어 조금만 주의를 기울이면 피싱이라는 것을 쉽게 인지할 수 있습니다. 다만, 일반 사용자의 경우 이러한 페이지에 접속하였을 때 ..

악성코드 분석 리포트 2022. 8. 9. 10:30

Cisco Small Business RV160, RV260, RV340 및 RV345 시리즈 라우터에서 여러 취약점이 발견되었습니다. 해당 취약점들을 악용하면 공격자가 원격에서 임의코드실행이 가능하거나 서비스 거부상태를 유발할 수 있습니다. 취약점 내용 Cisco Small Business RV 시리즈 라우터 원격 코드 실행 및 서비스 거부 취약점(CVE-2022-20842) Cisco RV340, RV340W, RV345 및 RV345P 듀얼 WAN 기가비트 VPN 라우터의 웹 기반 관리 인터페이스에 존재하는 취약점으로, 해당 취약점을 악용하면 공격자가 원격에서 임의코드실행이 가능하거나 예기치않게 다시 시작되어 서비스 거부(DOS)가 발생할 수 있습니다. Cisco Small Business RV 시..

국내외 보안동향 2022. 8. 8. 15:55

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 대형 포털사의 클라우드 공유 초대 서비스를 위장한 북 연계해킹 공격이 잇따라 포착되고 있어 사용자들의 각별한 주의가 필요합니다. 이번 공격대상은 주로 대북 분야에 종사하는 전문가 및 기자들로, 이 대상들에게 실제 서비스를 사칭한 피싱 메일 형태로 공격이 진행중입니다. 지난 토요일에 수행된 공격은 마치 ‘북핵개발 역사와 북미관계 발전전망’ 파일을 공유한 것처럼 위장했는데, 클라우드 공유 초대자가 과거 정부 때 국가정보원 해외·북한 담당 1차장을 지냈던 인물의 이름을 사칭하여 전달한 것이 특징입니다. 해킹 공격 메일의 본문에는 공유 초대 수락 버튼 클릭을 유도하기 위해, “북한 8차 당대회의 전략노선 및 대남정책 변화 전망을 1건 보내드..

악성코드 분석 리포트 2022. 8. 8. 13:35

Apache Hadoop의 FileUtil.unTar API가 shell을 전달하기 전 입력된 파일 이름에 대해 이스케이프 하지 않습니다. 해당 취약점은 공격자에게 임의명령을 인젝션 할 수 있으며, 원격코드실행을 허용합니다. 영향받는 버전 Apache Hadoop 2.0.0이상 2.10.1 이하 버전 Apache Hadoop 3.0.0-alpha 이상 3.2.3 이하 버전 Apache Hadoop 3.3.0 이상 3.3.2 이하 버전 패치방법 최신 버전으로 업데이트 Apache Hadoop 2.10.2 Apache Hadoop 3.2.4 Apache Hadoop 3.3.3 참고 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25168

국내외 보안동향 2022. 8. 8. 09:48

[8월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 Amazon OOO고객님 승인번호:2154(타인 노출금지) 결제금액:485,000원본인아닐시 문의:050-xxxx-xxxx 2 [국제발신] [요청하신 결제금액]-KRW786.200원 정상처리 되었습니다 본인결제 아닐시 02-xxxx-xxxx 3 [Web발신] [국민건강보험] 건겅검진 검진표 및 검진대상자 확인하기[xxxx.xxxx[.]club] 4 [국민건강보험공단]종합건강검진 검진표 발송.내용확인[xxxx.xxxx[.]top] 5 {한진}송장번호(5901*******..

안전한 PC&모바일 세상/스미싱 알림 2022. 8. 5. 17:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 얼마 전, 해킹된 광고서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어에 대해 주의를 당부한 적이 있습니다. ▶ 해킹된 광고 서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어 주의! 해당 공격은 현재까지 지속중이며, 불특정 다수를 대상으로 랜섬웨어를 내려주고 있어 여전히 위협적입니다. 그리고 최근, 파일명을 변경하여 사용자들의 의심을 피하고 실행을 유도하고 있는 점이 포착되었습니다. 기존의 경우에는 사용자의 접속 횟수와는 상관 없이 매번 Antivirus.Upgrade.Database.Cloud의 동일한 파일명의 랜섬웨어 파일을 내려주었는데, 많은 사용자들이 해당 파일이 랜섬웨어 파일이라는 것을 인지하여 감염률이 낮아졌고, ..

악성코드 분석 리포트 2022. 8. 5. 14:50

WPS Office 2019 개인용, 기업용에서 원격코드실행(RCE) 제로데이 취약점이 발견되었습니다. WPS Office란 중국에서 개발된 무료 문서 작업 소프트웨어로, 유료인 Microsoft Office의 대체 프로그램으로 많이 사용되고 있습니다. 2022년도까지 4억 9400만명 이상의 월간 활성 사용자를 보유하고 있습니다. 공격자는 정상처럼 위장한 악성 문서를 전송하고 사용자의 열람을 유도하며, 만일 사용자가 해당 파일을 실행하면 자동으로 스크립트를 로드하고 악성코드를 실행하여 사용자 PC를 원격에서 할 수 있습니다. 해당 취약점은 PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX등 형식의 파일들로 트리거 할 수 있으며, 현재 야생에서 해당 제로데이 취약점을 악용하는 정황이 포착되..

국내외 보안동향 2022. 8. 4. 11:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직 혹은 비너스락커 조직을 모방하는 조직이 최근 새로 업데이트 한 LockBit 랜섬웨어 3.0 버전의 유포를 시작하였습니다. LockBit 3.0은 올해 7월 초에 등장하였지만 국내에서는 여전히 LockBit 2.0 버전이 유포되고 있었습니다. 하지만, 금일 LockBit 3.0 버전의 유포가 확인되어 사용자들의 각별한 주의가 필요합니다. 유포 방식은 기존과 동일하게 입사지원서를 위장한 피싱 메일을 통해 유포중이며, 이력서를 위장한 랜섬웨어 파일이 첨부되어 있습니다. 기존과 마찬가지로 국내사용자들을 대상으로 공격을 진행중이며, 국내 맞춤형으로 한글(HWP)파일 아이콘을 ..

악성코드 분석 리포트 2022. 8. 2. 10:48