최신 보안 동향455 OfficeNote로 위장한 XLoader 악성코드 MacOS를 공격하는 “XLoader” 악성코드가 생산성 앱인 OfficeNote로 위장해 유포되는 정황이 발견됐다. 보안 업체 SentinelOne은 “XLoader”를 인포스틸러이자 봇넷이라고 소개하며 2021년에 Java로 작성된 MacOS용 샘플을 발견했다고 언급했다. 발견 당시 MacOS가 2009년에 출시된 Mac OS X Snow Leopard 버전 이후로 자바 실행 환경(JRE)을 기본 제공하지 않아 Java를 별도 설치한 업체를 대상으로 공격한다고 덧붙였다. 한편, 새로 발견한 샘플은 C 및 Object-C 언어로 작성돼 기존의 종속성 문제가 없다고 전했다. 또한, OfficeNote.dmg라는 파일명으로 유포되며 Apple 개발자의 서명을 사용한다고 설명했다. 다음으로 SentinelO.. 2023. 8. 28. Zimbra 이메일 계정을 노리는 피싱 캠페인 최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 .. 2023. 8. 25. 보안 봇을 회피하는 Raccoon 스틸러 판매 정황 발견 수백만 명의 개인정보를 탈취한 “Raccoon” 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다. “Raccoon” 스틸러는 감염된 시스템의 자격 증명과 암호화폐 지갑 정보 등을 탈취해 ‘%Temp%’ 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 보안 업체 CyberInt는 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다. 또한, 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다고 언급했다. 한편, 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다고 덧붙였다. 이에 대해 CyberInt .. 2023. 8. 17. Microsoft 365 계정을 노리는 EvilProxy 피싱 캠페인 최근 서비스형 피싱 플랫폼인 “EvilProxy”를 사용해 Microsoft 365 계정을 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Proofpoint는 신뢰할 수 있는 업체로 위장한 공격자의 피싱 메일에서 캠페인이 시작된다고 전했다. 피싱 메일은 정상적인 웹사이트로 위장한 링크를 포함하고 있으며, 접속할 경우 공격자가 사전에 만든 사이트로 리다이렉션을 한다. 해당 링크로 접속한 사용자가 로그인을 시도하면, 공격자는 “EvilProxy”를 사용해 계정 정보와 MFA 인증 정보 등을 탈취한다. 이후, 탈취한 계정으로 로그인 한 공격자는 MFA 인증 방식을 추가해 지속적인 접근을 가능하게 하며 금융 사기 및 데이터 유출 등의 추가 공격을 수행할 수 있게 된다. 이에 대해 Proofpoint 측은 이메일 .. 2023. 8. 10. Linux를 공격하는 Abyss Locker 랜섬웨어 변종 “Abyss Locker” 랜섬웨어가 Linux의 가상화 플랫폼인 VMware ESXi 서버를 공격하는 변종이 발견됐다. 발견된 변종은 ESXi 서버에서 호스트를 관리하는 esxcli 명령을 사용해 실행 중인 가상 머신을 모두 종료한다. 이후 가상 디스크, 스냅샷 및 메타데이터를 포함한 파일을 암호화한 후 파일명에 “.crypt” 확장자를 추가한다. 또한, “파일명.README_TO_RESTORE” 이름의 랜섬노트를 생성한다. 외신은 “Abyss Locker” 측이 자신들이 운영하는 데이터 유출 사이트에 14곳의 피해 업체 정보를 게시했다고 전했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2023.07.29) – Linux version of Abyss .. 2023. 8. 2. 사용자 계정 컨트롤을 우회하는 Casbaneiro 악성코드 변종 최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 “Casbaneiro” 악성코드 변종이 발견됐다. 보안 업체 Sygnia는 "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다. 이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동.. 2023. 7. 31. 이전 1 ··· 6 7 8 9 10 11 12 ··· 76 다음
