SeaFlower campaign distributes backdoored versions of Web3 wallets to steal seed phrases Confiant의 연구원들이 Web3 지갑 사용자를 노리는 정교한 악성코드 캠페인인 SeaFlower를 발견했습니다. 중국의 공격자는 iOS 및 안드로이드 Web3 지갑의 백도어가 포함된 버전을 배포해 사용자의 시드 문구를 훔치고 있는 것으로 나타났습니다. SeaFlower는 원래 지갑의 기능을 포함하지만 시드 문구를 추출하는 코드를 추가했습니다. 공격자는 아래 web3 지갑을 타깃으로 삼았습니다. Coinbase Wallet (iOS, 안드로이드) MetaMask wallet (iOS, 안드로이드) TokenPocket (iOS, 안드로이드) i..

국내외 보안동향 2022. 6. 15. 14:00

New BHUNT malware targets your crypto wallets and passwords 가상화폐 지갑, 비밀번호, 보안 문구를 노리는 새로운 모듈식 악성코드인 'BHUNT'가 발견되었습니다. 이는 또 다른 크립토 스틸러일 뿐이지만, 은밀히 움직이기 때문에 주의할 필요가 있습니다. 감염 벡터 새로운 BHUNT 맬웨어는 Bitdefender에서 발견하여 분석했습니다. BHUNT는 탐지를 피하고 보안 경고를 트리거하기 위해, 연구원의 리버스 엔지니어링 및 분석을 방해하는 두 가지 가상 머신 패커인 Themida 및 VMProtect를 사용하여 압축 및 강력하게 암호화됩니다. 공격자는 CCleaner의 제작자인 Piriform에서 훔친 디지털 서명을 이용하여 악성코드 실행 파일에 서명했습니다..

국내외 보안동향 2022. 1. 20. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 6월 14일 오전 3시부터 국/내외 불특정 다수의 사용자에게 협박성 Hoax 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "너의 스마트폰" 이라는 제목으로 전파되고 있으며, 사용자의 모바일 복사본이 업로드되어있는 클라우드 스토리지 사이트가 해킹되어 모든 정보를 가지고 있으니 음란한 자료를 지인에게 보낼 수 있으니 상담료를 보내라는 협박 내용들이 기재되어 있습니다. 현재 유포 중인 혹스(Hoax) 메일 본문의 전체 내용은 아래와 같습니다. 안녕하세요. 여러분의 모바일 스토리지가 손상되었음을 알려드리게 되어 유감입니다. 이러한 원인을 설명하겠습니다. 여러분의 계정이 있는 웹 사이트가 해킹당했습니다. 유출된 곳에서 여러분의 비밀번호..

악성코드 분석 리포트 2021. 6. 14. 16:19

Scammers hacked Twitter and hijacked accounts using admin tool 해커들이 내부 사용자 관리 툴 및 시스템에 접근 권한을 얻어내 유명 트위터 계정 수십 개를 하이재킹한 것으로 나타났습니다. 이후 이 계정은 가상화폐 사기를 홍보하는데 악용되었습니다. 공격자는 유명 계정 다수를 통해 “비트코인을 보내면 2배로 돌려주겠다”라는 메시지를 올렸으며, 이를 통해 10만 달러 이상을 벌어들일 수 있었습니다. 해커는 IT 기업과 임원, 연예인, 가상화폐 거래소 등 여러 유명 트위터 계정을 탈취하여 사기를 저질렀습니다. 공격자는 버락 오바마 전 미국 대통령, 조 비덴 전 미국 부통령 및 카니예 웨스트, 빌 게이츠, 킴 카다시안 등 유명 인사와 애플, 우버, 비트코인 등 기술..

국내외 보안동향 2020. 7. 17. 10:38

안녕하세요.이스트시큐리티 ESRC(시큐리티대응센터)입니다. ‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. 특히 이번 문서 파일은 본문 내용에 2020년 초 국내에서 큰 이슈가 되었던 악질적인 디지털 성범죄 이슈였던 'n번방' 관련 이슈를 다루고 있는 것이 특징입니다. (제목 : nth_room_event1.doc) 이번에 확인된 악성문서는 기존 공격방식과 유사하게 문서 실행 시 아래와 같이 매크로 실행을 유도합니다. 이전에 발견된 Konni 악성코드 문서와 동일하게 본문 내용 색깔이 흰색으로 작업되어 있는 것을 확인할 수 있습니다. [그림 1] nth_room_event1.doc 실행 화면 매크로 기능은 %userprofile% 경로에 ‘ok.exe’ 파일..

악성코드 분석 리포트 2020. 6. 15. 17:56

Hacker extorts online shops, sells databases if ransom not paid 다양한 국가의 온라인 쇼핑몰 SQL 데이터베이스 스무 개 이상이 공개 웹사이트에서 판매되고 있는 것으로 나타났습니다. 판매자는 총 150만 건 이상에 달하는 기록을 판매하고 있지만, 그가 보유한 훔친 데이터의 양은 더욱 많습니다. 공격자들은 공개 웹에서 접근 가능한 제대로 보호되지 않은 서버를 해킹하여 데이터베이스를 복사한 후 랜섬머니를 요구하는 메시지를 남깁니다. 공격자가 벌어들인 금액 피해자들은 랜섬노트에 기재된 지갑에 10일 내로 0.06 비트코인(현재 기준 60만 원 상당)을 보내야 합니다. 그렇지 않으면 해커가 데이터베이스를 공개하거나 마음대로 사용할 것입니다. 공격자가 사용한 지갑..

국내외 보안동향 2020. 5. 26. 15:00

DoppelPaymer Ransomware hits Los Angeles County city, leaks files DoppelPaymer 랜섬웨어 공격자가 캘리포니아 로스앤젤레스 지역 토런스(Torrance)시를 공격해 암호화되지 않은 데이터를 훔치고 기기를 암호화한 것으로 나타났습니다. 공격자들은 복호화 툴을 제공하고 이미 공개된 회사 파일을 삭제하고 추가 파일을 공개하지 않을 것을 원할 경우 100 비트코인(약 $689,147)을 지불하라고 요구하고 있는 것으로 나타났습니다. 토런스 시는 로스앤젤레스 교외에 위치해있으며, 인구는 약 15만 명입니다. 2020년 2월, DoppelPaymer는 “Dopple Leaks”라는 사이트를 만들어 랜섬머니 지불을 거부한 피해자로부터 훔친 데이터를 공개하는데..

국내외 보안동향 2020. 4. 23. 15:00

InnfiRAT Trojan steals funds from Bitcoin and Litecoin wallets 보안 연구원들이 가상 화폐 지갑 데이터를 훔치기 위해 피해자의 시스템을 감염시키는 새로운 악성코드인 InnfiRAT을 발견했습니다. InnfiRAT는 사용자 컴퓨터의 개인 정보 탈취를 위해 설계되었으며, 특히 비트코인, 라이트코인 등 가상 화폐 지갑과 관련된 정보를 찾습니다. InnfiRAT은 저장된 사용자 계정과 비밀번호, 세션 데이터를 훔치기 위해 브라우저 쿠키를 수집합니다. 그리고 악성코드는 실행 시 파일이 %AppData% 디렉터리에서 실행되는지, 파일 이름이 NvidiaDriver.exe인 상태에서 실행되는지 확인합니다. 이후 "iplogger[.]com/1HEt47"로 요청을 보내 ..

국내외 보안동향 2019. 9. 16. 10:49