악성코드359 디지털 서명을 위조하는 악성코드 발견 Google의 위협 분석 그룹(TAG, Threat Analysis Group) 의 보안 연구원이 디지털 서명을 위조해 보안 프로그램을 우회하는 악성코드를 발견했다. TAG가 발견한 악성코드는 인증서에 유효하지 않은 값을 추가해 OpenSSL을 사용하는 보안프로그램이 조작된 인증서를 사용한 PE 파일을 탐지하지 못하도록 위장한다. 현재, TAG는 Google Safe Browsing팀과 협력해 관련 사항에 대해 확산되지 않도록 차단하고 있으며, 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고 설치할 것을 권장했다. 출처 [1] bleepingcomputer (2021.09.24) - Malware devs trick Windows validation with malformed certs https:/.. 2021. 9. 24. 전세계를 표적으로 활동하는 FamousSparrow 최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h.. 2021. 9. 24. 러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장 "Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 .. 2021. 9. 2. iPhone Exploit 공격, FORCEDENTRY 캐나다 토론토의 한 대학에 기반을 둔 Citizen Lab은 최근 바레인 정부 및 관련 활동가를 대상으로 하는 iMessage Exploit 공격을 발견하였다. 이 공격은 'FORCEDENTRY'라는 이름의 익스플로잇이 사용되었으며, FORCEDENTRY Exploit은 2021년 2월부터 사용된 것으로 알려졌다. 해당 익스플로잇은 iOS 버전 14.4 및 14.6에서 동작 가능한 제로데이 취약점으로 Apple의 BlastDoor 보안 기능을 우회할 수 있다고 밝혀졌다. 사진 출처: Citizenlab 출처 [1] Citizenlab (2021.08.31) – Bahraini Government Hacks Activists with NSO Group Zero-Click iPhone Exploits htt.. 2021. 8. 31. WhatsApp 추가 기능을 제공하는 Triada 악성코드 최근, 국내외 많은 사용자를 보유하고 있는 메시지 앱 WhatsApp의 추가 옵션 기능을 제공하는 앱으로 위장한 Triada 악성코드가 등장하였다. 해당 악성코드는 'FMWhatsApp' 이름으로 유포되었으며, WhatsApp이 기존에 가지고 있지 않은 특정 대화를 숨기는 옵션, 보낸 사람이 삭제한 메시지 보기 옵션 등의 추가 기능을 제공한다고 알려졌다. Triada 악성코드는 사용자 단말기의 정보를 탈취하거나 SMS 메시지에 접근하는 등의 악성동작을 수행한다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.08.27) – Triada Trojan in WhatsApp mod https://securelist.com/triada-trojan-in-whatsapp-mod/103679/ 2021. 8. 27. 가짜 은행 프로그램을 통해 유포된 Warsan RAT 악성코드 은행 업데이트 프로그램으로 위장한 악성코드 유포 사례가 발견되었다. 공격자는 "Warsaw" 악성코드를 가짜 은행 업데이트 프로그램으로 위장하여 유포하였다. 사용자가 "Warsaw" 악성코드를 정상 프로그램으로 착각하여 실행한다면, 공격자의 서버로 연결하여 "Warsan RAT" 악성코드를 추가 다운로드하여 실행한다. "Warsan RAT" 악성코드는 공개된 소스코드에 Telegram 통신, 자동 실행 등의 기능을 추가한 것으로 알려졌으며, 공격자의 명령을 전달받아 추가 악성행위를 수행한다. Warsaw 악성코드 "Warsaw" 는 다운로더 악성코드로 은행 업데이트 프로그램으로 위장하여 유포되었다. 사용자가 업데이트 프로그램으로 착각하고 실행하면 ‘보안을 강화하기 위해 모듈을 업데이트 하라’ 라는 내용의.. 2021. 8. 19. 이전 1 ··· 22 23 24 25 26 27 28 ··· 60 다음
