태군 코드 : Security, travel & communication

ESXi Args 랜섬웨어 발발로 1,000대 이상의 서버에 영향 2월 3일, CERT-FR 은 ESXi Args 랜섬웨어를 배포하기 위해 VMware ESXi 서버를 대상으로 하는 랜섬웨어 공격에 대해 사용자에게 경고 했습니다. 이 보고서는 또한 TA(Threat Actors)가 CVE-2021-21974 로 추적된 2년 된 취약점을 활용한다고 밝혔 습니다. VMware에 따르면 ESXi70U1c-17325551 이전의 ESXi 버전 7.0, ESXi670-202102401-SG 이전의 6.7 및 ESXi650-202102101-SG 이전의 6.5에는 OpenSLP의 힙 오버플로우 취약점이 포함되어 있습니다. 포트 427에 액세스할 수 있는 ESXi 시스템과 동일한 네트워크에 있는 TA는 이 취약점을 ..

입사지원서를 위장한 LockBit 랜섬웨어가 지속적으로 탐지되고 있습니다. 해당 악성메일은 zip 파일로 압축이 되어 있고 비밀번호가 설정되어 있어 보안장비를 우회할 수 있습니다. 발신자 : marylandleisy396@gmail.com (변경될수 있음) 제목 : 열정적이고 유능한 사람 (변경될수 있음) 첨부파일 : 비밀번호가 설정되어 있는 zip 압축 파일 발신자 주소 (변경될수 있음) tsukokunakino@gmail.com nankonshin@gmail.com campbellisnsf@gmail.com whitenzjqy@gmail.com td9202544@gmail.com hysjame97@gmail.com leettrxv@gmail.com marylandleisy396@gmail.com ha..

한국인터넷진흥원(KISA)이 'Hive 랜섬웨어' 버전4까지 복구 가능한 통합 복구 도구를 세계 최초 개발·배포했다. Hive 랜섬웨어는 윈도 원격 데스크톱 프로토콜(RDP) 취약점을 이용해 시스템에 침투해 파일을 암호화하고, 버전에 따라 파일의 확장자를 '.hive' 또는 랜덤한 문자열로 변경하는 랜섬웨어다. Hive 랜섬웨어 통합 복구도구는 특정 경로에 있는 공격자가 암호화한 암호키를 이용해 감염된 랜섬웨어의 버전을 자동으로 식별한다. 피해자가 암호키의 파일 확장자와 크기를 보고 감염된 랜섬웨어 버전을 확인해야 하는 이전 복구도구의 불편한 점을 개선했다. 통합 복구도구를 사용하기 위해서는 감염된 파일과 감염되지 않은 원본 파일이 여러 개 필요하다. 원본 파일은 감염된 PC에 설치된 프로그램과 동일한 ..

입사지원서를 위장한 악성메일이 지속적으로 유포가 되고 있습니다. 해당 악성메일은 첨부파일에 있는 확장자를 긴 문자열로 위장하여 보내고 있으며, 현재 다수의 백신에서 탐지가 안되고 있어 더욱 주의가 필요할 것으로 확인이 됩니다. 발신자 : b8524868@hanmail.net제목 : 김기홍 지원서첨부파일명 : 김기홍.7z 메일의 본문 내용을 보시면 입사지원서를 위장하고 있으며, 메일의 헤더를 변조하여 악성 메일을 유포하고 있습니다. 위에서도 보이듯이 발신자와 수신자가 동일한 것을 확인 할수 있습니다. 첨부파일에 내용을 보면 이력서.pdf, 포트폴리오.pdf 로 포함되고 있는것 처럼 보이지만 실제 파일제목 부분을 늘려보면 실행파일인것을 확인할수가 있습니다. 바이러스토탈 확인시 다수의 백신에서 탐지는 하고 있..

국세청을 위장한 악성메일이 추가로 발견 되었습니다. 발신자 : david@mustix.com 외 다수 제목 : 국세청송장, 송장, 과세 요청 외 다수 첨부파일명 : eTaxInvoice_654281.html (변경될수 있음) 메일의 본문을 살펴보면 기존과는 다르게 html 파일을 첨부하고 있으며, 보안장비를 우회하려는 것으로 보입니다. 첨부된 html 파일의 내용입니다. 첨부파일 실행시 특정 URL을 호출하여 기존과 동일한 매크로 형태의 엑셀 파일을 다운로드 받게 이루어져 있습니다. 확일결과 해당 메일은 정보탈취형 악성코드로 확인이 되며 메일 실행 절차는 다음과 같습니다. 1. 국세청을 사칭한 첨부된 html 파일 실행 2. 특정 URL로 연결되어 다운로드 경고창 발생 다운로드 실행시 악성 매크로가 포함..

최근 온라인 팩스 서비스 WiseFax를 사칭하여 악성메일이 유포되고 있어 주의가 필요할것으로 보입니다. 발신자 : admin@eurocoin.info 외 다수제목 : 팩스가 전송되었습니다.첨부파일 : WiseFax 문서.rar 해당 메일은 '팩스가 전송되었습니다.'란 제목과 'WiseFax 문서.rar' 파일을 함께 첨부하고 있으며, 본 서류를 보기 위해서는 MS워드가 필요하다는 내용을 담고 있습니다. 실제 해당 첨부파일을 확인해보면 doc 파일을 위장한 실행파일이 담겨져 있습니다. WiseFax는 실제로 존재하고 있는 온라인 팩스 어플리케이션으로 공격자들은 실제 존재하는 제품을 사칭해 사용자들을 안심시킨뒤 첨부파일 실행을 유도하고 있습니다. 최근 유포되고 있는 악성메일들의 유형을 보면 지속적으로 변화..

최근 저작권 위반 및 입사지원서를 위장한 악성 이메일 공격이 증가하고 있으며, 첨부된 파일을 열어보도록 하는 공격이 꾸준이 증가하고 있어 사용자들의 주의가 필요할 것으로 보입니다. 발신자 : 랜덤@naver.com (변경가능)제목 : 안녕하세요 김민지 입니다. (변경가능) 첨부파일명 : 이력서.egg (변경가능) 해당 메일에는 이력서.egg 압축파일을 첨부하고 있으며, 첨부파일 실행을 유도 하고 있습니다. 먼저 의심되는 메일을 확인할수 있는 제일 간단한 방법은 해당파일 오른쪽 버튼을 누른후 압축풀기가 아닌 열기를 선택하여 줍니다. 저는 반디집을 사용하기 때문에 저와 나오는 화면은 다를수 있습니다. 오른쪽 버튼을 누른후 열기를 선택하면 위와 같은 화면이 보이실겁니다. 실제 압축을 풀어서 확인을 할수도 있지..

입사지원서를 사칭한 악성메일이 꾸준히 유포되고 있는 정황이 확인이 되므로, 인사지원 담당자 분들과 사용자들의 주의가 필요할 것으로 보입니다. 발신자 : jangdy0218@giropartpriateloops.top 제목 : 안녕하세요 열정을 가지고 열심히하겠습니다(장다연) 첨부파일 : 이력서.alz 발신자 : jangdy0218@giropartpriateloops.xyz 제목 : [장도연] 입사지원서_0410 첨부파일 : 장도연.rar 발신자 : killerdiedie@naver.com 제목 : 안녕하세요 연락드려봅니다 첨부파일 : 이력서.egg 메일 본문내용은 이력서를 보내드리니 확인해 달라는 내용이 포함되어 있으며, 첨부파일은 다양한 형태의 압축 파일로 이루어져 있습니다. 압축된 첨부파일을 확인해 보..

최근 한솔제지를 사칭한 신종 랜섬웨어가 유포되고 있는 정황이 확인 되었습니다. 발신자 : penny@amerathon.com 외 다수 제목 : 한솔제지(주) 발주서 송부 첨부파일명 : 구매오더4500286249.xls 파일해시값 dccf4808f742270c24b709f8813d02e2d39a645bb852306e9ef5eae0bd52554e 메일에는 구매오더4500286249.xls 첨부파일이 포함되어 있습니다. 해당 파일을 실행시킬 경우 악성매크로 허용을 유도 하고 있으며, 매크로 실행시 202.168.154.158 접속후 임시폴더에 lib1 이라는 악성파일을 다운로드 받습니다. 해당파일은 Microsoft Installer 형태를 가지고 있으며, 윈도우 정상 인스톨러 msiexec.exe를 통해 해..

법원을 사칭하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : news@tracking-time.com 외 다수 제목 : 판례 #558 019 327 첨부파일명 : Emblem_of_Korean_Courts.svg.png 법원 통지서.rar 파일 해시값1766422b2ccfd9123af4de59af958a2fefd97261c64dc8b07d1729f80f6d9506 메일을 보시면 법원 통지서.rar 이라는 첨부파일을 포함하고 있으며, 메일 본문에는 헌법 재판소에 출두하라는 내용이 포함되어 있습니다. 첨부파일은 doc 문서파일을 위장을 하고 있지만 실제 exe 실행 파일이라는 것을 알수 있습니다. 바이러스토탈 확인결과 해당 파일에 대하여 백신에서 탐지 비율이 낮으므로 더욱더 주의가 필..