Offcanvas

���������

코비드-19 노린 공격 기승··· CSO가 사용자 보호하는 4가지 방법

재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.   공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다. 아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다. 1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다. 체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다. 최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다. 또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다. 공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다. 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관...

코비드-19 COVID-19 코로나바이러스 재택근무 트릭봇 Trickbot 에모넷 Emotet URL IP 엔드포인트 이메일 다중 인증 MFA 코비드-19 사이버 위협 연합 Covid-19 Cyber Threat Coalition

2020.05.20

재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.   공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다. 아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다. 1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다. 체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다. 최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다. 또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다. 공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다. 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관...

2020.05.20

미국 강타한 랜섬웨어 '류크', 특징과 대응 방법은?

류크(Ryuk) 랜섬웨어 공격은 가장 취약하고 비용을 지급할 가능성이 높은 기업을 표적으로 삼는다. 종종 트릭봇(TrickBot)과 같은 다른 악성코드와 쌍을 이루기도 한다.     류크 랜섬웨어란 무엇인가  류크는 2018년부터 기업, 병원, 정부 기관 및 기타 조직을 표적으로 한 정교한 랜섬웨어 위협이다. 류크의 배후 공격자는 수동 해킹 기술과 오픈소스 도구를 사용해 측면 이동을 하고 파일 암호화를 시작하기 전에 가능한 많은 시스템에 대한 관리 액세스 권한을 얻는 것으로 알려져 있다.   류크는 2018년 8월에 처음 등장했지만, 2017년 사이버범죄 지하세계에서 판매된 오래된 악성코드인 헤르메스(Hermes)를 기반으로 한다. 헤르메스는 2017년 10월, 대만의 극동국제은행(FEIB) 공격 때 북한의 후원을 받는 라자러스 그룹(Lazarus Group)이 사용했던 것으로, 류크 또한 북한 해커에 의해 만들어졌다는 주장이 나왔다. 이 주장에 대해 여러 보안업체가 반박해 류크는 현재 헤르메스에 접근할 수 있었던 러시아어를 사용하는 사이버범죄 그룹이 만든 것으로 여겨진다. 류크 범죄집단은 일부 보안업체에서 추적하고 있는데, 류크와 관련이 있는 훨씬 오래되고 활발한 자격 증명 탈취 트로이목마 프로그램인 트릭봇을 운영하는 집단과 동일한 그룹이다. 다른 연구진은 “류크가 원래 헤르메스 저작자나 크립토테크(CryptoTech)가 운영하는 작가의 창작물일 수 있다”며, “개선된 버전을 개발한 후 랜섬웨어 판매를 중단한 것”이라고 주장했다.  류크 공격자는 다른 랜섬웨어 공격 집단에 비해 피해자로부터 더 많은 몸값을 요구한다. 류크와 관련한 몸값은 일반적으로 약 10~50만 달러 가치인 15~50비트코인으로 알려졌지만, 더 많은 몸값이 지불된 것으로 보고됐다. 류크 공격자는 보안 업계에서 통상적으로 빅 게임 헌팅(big game hunting)이라고 부르는 많은 몸값을 지불할 조직을 표적으로 공격하기 때문에 고수익 ...

사이버범죄 악성코드 랜섬웨어 트릭봇 류크 Ryuk

2020.05.15

류크(Ryuk) 랜섬웨어 공격은 가장 취약하고 비용을 지급할 가능성이 높은 기업을 표적으로 삼는다. 종종 트릭봇(TrickBot)과 같은 다른 악성코드와 쌍을 이루기도 한다.     류크 랜섬웨어란 무엇인가  류크는 2018년부터 기업, 병원, 정부 기관 및 기타 조직을 표적으로 한 정교한 랜섬웨어 위협이다. 류크의 배후 공격자는 수동 해킹 기술과 오픈소스 도구를 사용해 측면 이동을 하고 파일 암호화를 시작하기 전에 가능한 많은 시스템에 대한 관리 액세스 권한을 얻는 것으로 알려져 있다.   류크는 2018년 8월에 처음 등장했지만, 2017년 사이버범죄 지하세계에서 판매된 오래된 악성코드인 헤르메스(Hermes)를 기반으로 한다. 헤르메스는 2017년 10월, 대만의 극동국제은행(FEIB) 공격 때 북한의 후원을 받는 라자러스 그룹(Lazarus Group)이 사용했던 것으로, 류크 또한 북한 해커에 의해 만들어졌다는 주장이 나왔다. 이 주장에 대해 여러 보안업체가 반박해 류크는 현재 헤르메스에 접근할 수 있었던 러시아어를 사용하는 사이버범죄 그룹이 만든 것으로 여겨진다. 류크 범죄집단은 일부 보안업체에서 추적하고 있는데, 류크와 관련이 있는 훨씬 오래되고 활발한 자격 증명 탈취 트로이목마 프로그램인 트릭봇을 운영하는 집단과 동일한 그룹이다. 다른 연구진은 “류크가 원래 헤르메스 저작자나 크립토테크(CryptoTech)가 운영하는 작가의 창작물일 수 있다”며, “개선된 버전을 개발한 후 랜섬웨어 판매를 중단한 것”이라고 주장했다.  류크 공격자는 다른 랜섬웨어 공격 집단에 비해 피해자로부터 더 많은 몸값을 요구한다. 류크와 관련한 몸값은 일반적으로 약 10~50만 달러 가치인 15~50비트코인으로 알려졌지만, 더 많은 몸값이 지불된 것으로 보고됐다. 류크 공격자는 보안 업계에서 통상적으로 빅 게임 헌팅(big game hunting)이라고 부르는 많은 몸값을 지불할 조직을 표적으로 공격하기 때문에 고수익 ...

2020.05.15

코로나19 악용한 공격 기승··· 원격근무자 보호 팁 4가지

원격근무자는 코로나바이러스와 관련된 피싱, 악성 도메인, 개조된 악성코드 등에 특히 취약할 가능성이 높다. 이들을 보호할 수 있는 4가지 팁을 살펴본다.  코로나19를 악용한 타깃형 공격이 이어지고 있다. 가장 큰 보안 위협은 바로 COVID-19 관련 피싱 공격이다. 또한 코로나바이러스 키워드로 도메인을 등록해 클릭을 유도하는 악성 도메인도 위협 중 하나다.   미국 사이버보안 업체 아노말리는 최소 15개 이상의 COVID-19 관련 공격을 식별한 보고서를 최근 발표했다. 해당 공격들은 39개의 서로 다른 악성코드를 배포하고, 80개의 마이터 어택(MITRE ATT&CK) 기술을 사용한 11명의 위협 행위자와 연관돼 있었다.  보고서에 따르면 1월에는 민간 혹은 공공 보건복지단체의 알림으로 보이는 전형적인 악성 이메일 공격이 주를 이뤘다. 2월에는 해당 공격들이 원격 액세스 트로이 목마(Remote Access Trojans, RAT)를 포함하도록 변경됐다.  이스라엘 사이버보안 업체 체크포인트도 코로나19 관련 사기성 도메인이 증가하고 있다고 3월 보고했다. 체크포인트의 연구진들은 3월 중순 존스홉킨스대학교의 코로나19 추적 지도인 척하는 악성 애플리케이션을 찾아 공개한 바 있다. 이밖에 마이크로소프트는 최근 자사가 모니터링하는 네트워크에서 코로나19를 미끼로 한 다음과 같은 몇 가지 공격 경향이 두드러졌다고 언급했다.  • 모든 국가에서 최소한 1개 이상의 COVID-19 관련 사이버 공격이 있었다. 가장 많이 표적이 된 국가는 중국, 미국, 러시아였다.  • 트릭봇(TrickBot)과 이모텟(Emotet) 악성코드가 개조 및 수정을 거쳐 재사용되고 있다. • COVID-19 관련 악성 첨부파일 및 URL이 포함된 이메일은 약 6만 개에 달한다.  • 공격자들은 악성 이메일이 받은 편지함에 들어갈 수 있도록 공식 기관을 사칭하고 있다.  • 스마트스크린(SmartS...

원격근무 악성도메인 스마트스크린 코로나바이러스 코로나19 트릭봇 멀웨어 악성코드 위협 네트워크 피싱 마이크로소프트 이메일 보안 이모텟

2020.05.07

원격근무자는 코로나바이러스와 관련된 피싱, 악성 도메인, 개조된 악성코드 등에 특히 취약할 가능성이 높다. 이들을 보호할 수 있는 4가지 팁을 살펴본다.  코로나19를 악용한 타깃형 공격이 이어지고 있다. 가장 큰 보안 위협은 바로 COVID-19 관련 피싱 공격이다. 또한 코로나바이러스 키워드로 도메인을 등록해 클릭을 유도하는 악성 도메인도 위협 중 하나다.   미국 사이버보안 업체 아노말리는 최소 15개 이상의 COVID-19 관련 공격을 식별한 보고서를 최근 발표했다. 해당 공격들은 39개의 서로 다른 악성코드를 배포하고, 80개의 마이터 어택(MITRE ATT&CK) 기술을 사용한 11명의 위협 행위자와 연관돼 있었다.  보고서에 따르면 1월에는 민간 혹은 공공 보건복지단체의 알림으로 보이는 전형적인 악성 이메일 공격이 주를 이뤘다. 2월에는 해당 공격들이 원격 액세스 트로이 목마(Remote Access Trojans, RAT)를 포함하도록 변경됐다.  이스라엘 사이버보안 업체 체크포인트도 코로나19 관련 사기성 도메인이 증가하고 있다고 3월 보고했다. 체크포인트의 연구진들은 3월 중순 존스홉킨스대학교의 코로나19 추적 지도인 척하는 악성 애플리케이션을 찾아 공개한 바 있다. 이밖에 마이크로소프트는 최근 자사가 모니터링하는 네트워크에서 코로나19를 미끼로 한 다음과 같은 몇 가지 공격 경향이 두드러졌다고 언급했다.  • 모든 국가에서 최소한 1개 이상의 COVID-19 관련 사이버 공격이 있었다. 가장 많이 표적이 된 국가는 중국, 미국, 러시아였다.  • 트릭봇(TrickBot)과 이모텟(Emotet) 악성코드가 개조 및 수정을 거쳐 재사용되고 있다. • COVID-19 관련 악성 첨부파일 및 URL이 포함된 이메일은 약 6만 개에 달한다.  • 공격자들은 악성 이메일이 받은 편지함에 들어갈 수 있도록 공식 기관을 사칭하고 있다.  • 스마트스크린(SmartS...

2020.05.07

안랩, 문서파일 형태로 유포되는 '트릭봇' 악성코드 주의 당부

안랩이 최근 정상 문서파일을 위장해 메일로 유포되는 정보탈취 악성코드 유포 사례를 발견해 사용자의 주의를 당부했다. 공격자는 주로 기업을 대상으로 워드프로세서 문서형태(.doc)의 악성파일을 첨부한 메일을 발송했다. 사용자가 첨부된 악성 파일을 실행하면 ‘이전 버전에 만들어진 문서’라는 안내화면과 함께 매크로 실행을 권유하는 ‘콘텐츠 사용’ 버튼이 나타난다. 만약 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 클릭하면 파일오류 안내를 위장한 가짜메시지가 노출된다. 이와 동시에 사용자 몰래 PC에 ‘트릭봇(Trickbot)’ 악성코드가 설치된다. PC 감염 이후 ‘트릭봇’ 악성코드는 사용자 PC에서 웹 브라우저 정보 및 금융거래 정보 등 민감한 정보를 탈취하는 악성행위를 시도한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲매크로 실행 알림 확인 및 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다. 안랩 분석팀 김준석 연구원은 “메일에 악성 문서파일을 첨부해 유포하는 사례는 과거부터 빈번하게 발생하고 있는 방식”이라며 “특히 기업에서는 더 큰 피해가 발생할 수 있기 때문에 평소 출처가 불분명한 메일의 첨부파일 실행을 자제하고 백신 최신 버전을 유지하는 등 보안 수칙 생활화가 필수”라고 말했다. ciokr@idg.co.kr

V3 악성코드 안랩 트릭봇

2019.09.05

안랩이 최근 정상 문서파일을 위장해 메일로 유포되는 정보탈취 악성코드 유포 사례를 발견해 사용자의 주의를 당부했다. 공격자는 주로 기업을 대상으로 워드프로세서 문서형태(.doc)의 악성파일을 첨부한 메일을 발송했다. 사용자가 첨부된 악성 파일을 실행하면 ‘이전 버전에 만들어진 문서’라는 안내화면과 함께 매크로 실행을 권유하는 ‘콘텐츠 사용’ 버튼이 나타난다. 만약 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 클릭하면 파일오류 안내를 위장한 가짜메시지가 노출된다. 이와 동시에 사용자 몰래 PC에 ‘트릭봇(Trickbot)’ 악성코드가 설치된다. PC 감염 이후 ‘트릭봇’ 악성코드는 사용자 PC에서 웹 브라우저 정보 및 금융거래 정보 등 민감한 정보를 탈취하는 악성행위를 시도한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲매크로 실행 알림 확인 및 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다. 안랩 분석팀 김준석 연구원은 “메일에 악성 문서파일을 첨부해 유포하는 사례는 과거부터 빈번하게 발생하고 있는 방식”이라며 “특히 기업에서는 더 큰 피해가 발생할 수 있기 때문에 평소 출처가 불분명한 메일의 첨부파일 실행을 자제하고 백신 최신 버전을 유지하는 등 보안 수칙 생활화가 필수”라고 말했다. ciokr@idg.co.kr

2019.09.05

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13