Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

이셋코리아

이셋코리아, 랜섬웨어 연구백서 발표

이셋코리아(www.estc.co.kr)는 최신 연구백서인 ‘랜섬웨어 : 악성코드, 압력 및 조작의 범죄 기술에 대한 고찰’을 발표했다.  이 보고서는 범죄자의 심리적, 기술적 혁신으로 인해 랜섬웨어가 얼마나 위험해졌는지 살펴보고 조직이 스스로를 가장 잘 보호할 수 있는 방법에 대한 조언을 제공한다. 또한 RDP(원격 데스크톱 프로토콜), 이메일 첨부 파일 및 공급망의 세 가지 특정 공격 벡터에 초점을 맞춰 악성 행위자가 사용하는 가장 광범위한 기술을 보여준다.    랜섬웨어 갱단은 RDP(원격 데스크톱 프로토콜)가 실행돼 공개적으로 사용할 수 있도록 잘못 구성된 시스템을 통한 침입에 중점을 두고, 코로나19 팬데믹을 악용해 탈취 및 배포 툴킷을 확장했다. 이셋 원격 분석은 RDP를 2020년 1월과 2021년 6월 사이에 710억 개를 초과하는 탐지율로 현재 가장 인기 있는 공격 벡터 중 하나로 파악했다. 이메일에 첨부된 악성 파일과 달리 RDP를 통한 공격은 합법성을 이용하므로 탐지 방법의 레이더에 포착되지 않으므로 측정 지표가 줄어들고 비즈니스에 대한 위협 인식이 떨어진다.  이셋 원격 분석은 또한 주로 기업 네트워크에서 파일 및 프린터 공유에 사용되는 SMB(서버 메시지 블록) 프로토콜이 조직의 네트워크에 침투할 수 있는 랜섬웨어의 공격 벡터로 오용될 수 있음을 보여준다. 2021년 1월과 4월 사이에 이셋 기술은 공개 SMB 서비스에 대한 3억 3500만 개 이상의 무차별 대입(Brute force) 공격을 차단했다. 이번 백서는 RDP 및 기타 사이버 위생 요소의 적절한 설정 외에도 이셋 엔터프라이즈 인스펙터(ESET Enterprise Inspector)와 같은 고급 EDR(엔드포인트 탐지 및 대응) 도구를 사용할 것을 권장한다고 업체 측은 설명했다.  이 백서는 또한 카세아 및 콜로니얼 파이프라인과 같은 최근 주목을 끄는 공격을 강조하고 랜섬웨어 운영자들이 전 세계 기업에 가한 비용을 반영했다...

이셋코리아 2021.08.13

이셋코리아, 봇넷 ‘트릭봇’ 정보 업데이트

이셋코리아(www.estc.co.kr)는 100만 대 이상의 컴퓨팅 장치를 감염시킨 봇넷 ‘트릭봇(Trickbot)’에 대한 정보를 업데이트하며 주의를 권고했다.  이셋 연구진은 2016년부터 트릭봇을 교란하기 위한 글로벌 작업에 참여하고 있다. 이셋은 기술 분석, 통계 정보, 알려진 명령 및 제어 서버 도메인 이름과 IP를 사용해 작업하고 있다.  트릭봇은 손상된 컴퓨터에서 자격 증명을 훔치는 것으로 알려져 있으며, 최근에는 랜섬웨어와 같은 더 많은 피해를 입히는 공격과 같은 전달 메커니즘으로 주로 관찰됐다.  이셋의 봇넷 추적기 플랫폼은 2020년에만 12만 5,000개 이상의 악성 샘플을 분석하고 다양한 트릭봇 모듈에서 사용하는 4만 개 이상의 구성 파일을 다운로드 및 해독해, 이 봇넷에서 사용하는 다양한 C&C 서버를 한 눈에 파악할 수 있다.  이셋의 위협 연구 책임자인 장-이안 부틴은 “우리가 추적한 수년 동안 트릭봇의 악성 행위는 꾸준히 보고돼 왔으며 이는 세계에서 가장 크고 수명이 긴 봇넷 중 하나가 되었다”며, “트릭봇은 가장 널리 퍼진 뱅킹 악성코드군 중 하나이며, 이런 악성코드는 전세계 인터넷 사용자에게 위협이 된다”라고 설명했다.  이 악성코드는 다양한 방법으로 배포됐다. 최근에 자주 관찰한 체인은 또다른 대형 봇넷인 이모텟(Emotet)에 의해 이미 손상된 시스템에 트릭봇이 드롭되는 것이다. 과거에 트릭봇 악성코드는 운영자에 의해 주로 뱅킹 트로이목마로 활용돼 온라인 은행 계좌의 자격 증명을 도용하고 부정 이체를 시도했다. 트릭봇은 플랫폼용으로 개발된 가장 오래된 플러그인 중 하나를 사용해 웹 인젝션을 사용할 수 있다. 이 기술은 손상된 시스템의 사용자가 특정 웹사이트를 방문할 때 사용자의 화면을 동적으로 변경할 수 있게 한다. editor@itworld.co.kr

이셋코리아 2020.10.20

"윈티 그룹, 비디오 게임 개발업체 표적 공격" 이셋 발표

이셋코리아(www.estc.co.kr)는 윈티 그룹(Winnti Group)이 여러 MMORPG 게임 개발 업체를 공격하기 위해 사용하는 새로운 모듈식 백도어를 발견했다고 밝혔다. 이셋이 파이프몬(PipeMon)이라고 명명한 악성코드는 한국과 대만의 기업을 공격대상으로 삼았다. 이 기업들이 개발한 게임은 전세계적으로 수천명의 동시 접속자가 있으며 주요 게임 플랫폼에서 이용된다.  공격자는 기업의 빌드 오케스트레이션 서버를 손상시켜 공격 대상자의 자동화된 빌드 시스템을 제어할 수 있게 했고, 이를 통해 공격자가 비디오 게임 실행 파일을 트로이목마화할 수 있었다.  또 다른 경우 기업의 게임 서버를 손상시키고 이 공격을 통해 금전적 이익을 위해 게임 내 통화를 조작하는 것이 가능할 수 있다. 이셋은 영향을 받는 기업에 연락해 이 문제를 해결하는 데에 필요한 정보와 지원을 제공했다고 밝혔다.  이셋 연구원인 마티유 타르타르는 “여러 지표로 인해 우리는 이 캠페인이 윈티 그룹에 의한 것으로 보고 있고, 파이프몬에서 사용하는 일부 명령 및 제어 도메인은 이전 캠페인에서 윈티 악성코드에 의해 사용됐다”며, “또한 2020년에 파이프몬에 감염된 것으로 밝혀진 동일한 업체에서는 2019년에도 다른 윈티 악성코드가 발견된 사례가 있다”라고 언급했다. 새로운 모듈형 백도어 파이프몬은 이전 캠페인에서 도난당한 것으로 보이는 코드사인 인증서로 서명됐으며 포트리유즈(PortReuse) 백도어와 유사성을 공유한다.  마티유 타르타르는 “이 새로운 백도어는 공격자가 여러 오픈소스 프로젝트를 사용해 새로운 도구를 적극적으로 개발하고 있으며 그들의 주요 백도어인 섀도우패드 및 윈티 악성코드에만 의존하지 않는다는 것을 보여준다”라고 덧붙였다.  한편, 2012년부터 활동 중인 윈티 그룹은 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 담당해 더 많은 피해를 야기하기 위해 트로이 목마화된 소프트웨어를 배포한다. 최근 이셋 연...

이셋코리아 2020.06.02

이셋, 윈도우 블루킵 취약점 확인 도구 배포

이셋코리아(www.estc.co.kr)는 블루킵(BlueKeep)으로 불리는 CVE-2019-0708로 인한 피해를 방지하기 위해 원격 데스크톱 프로토콜 인터넷 연결을 차단할 것을 권고하고, 윈도우 PC가 취약점 악용으로부터 안전한지 확인할 수 있는 무료 블루킵 도구를 배포했다. 무차별대입(Brute-force) 공격과 블루킵 익스플로잇은 직접 RDP(원격데스크톱 프로토콜) 연결을 사용해 공격자가 피해자의 서버를 오용하여 광범위한 악의적 활동을 하게 한다.  이셋의 아리에 고렛스키 연구원은 “블루킵 취약점은 아직 악용 수명주기의 초기 단계”라며, “많은 시스템이 아직 패치되지 않았으며, 웜 버전의 익스플로잇이 여전히 발견될 수 있다”고 설명했다. RDP를 사용하면 한 컴퓨터가 네트워크를 통해 다른 컴퓨터에 연결해 해당 네트워크를 원격으로 사용할 수 있다. 지난 2년 동안 이셋은 공격자가 RDP를 사용해 인터넷에서 윈도우 서버에 원격으로 연결한 사건이 점점 늘어나고 있음을 확인했다.  컴퓨터의 관리자로서 로그온한 공격자는 서버에 악성 프로그램을 다운로드해 설치, 보안 소프트웨어를 비활성화하거나 서버에서 데이터를 유출하는 등의 다양한 악의적인 작업을 수행할 수 있다. 공격자가 수행할 수 있는 작업의 정확한 특성은 매우 다양하지만 가장 일반적인 두 가지 관행은 암호 화폐를 생성하기 위해 코인 마이닝 프로그램을 설치하고 기업 조직에서 돈을 갈취하기 위해 랜섬웨어를 설치하는 것이다.  고렛스키는 “RDP로 수행되는 공격은 느리지만 꾸준히 증가하고 있으며 미국, 영국, 캐나다 및 호주의 여러 정부 자문의 대상이 되었다”며, “블루킵의 등장으로 인해 추가 공격을 할 수 있는 포문이 열렸고, 이 취약점은 웜에 감염될 수 있으며, 이는 사용자의 개입없이 공격이 네트워크에 자동으로 확산될 수 있음을 의미한다”고 경고했다. 마이크로소프트는 고객에 대한 지침을 게시해 블루킵 취약점을 최고 심각도의 치명적 수준으로 지정했으며 이 항목은 미국 ...

이셋코리아 2019.12.24

이셋코리아, 2017년 안드로이드 랜섬웨어 결산 보고서 발표

이셋코리아(www.estc.co.kr)는 2017년 한 해 동안의 안드로이드용 랜섬웨어 활동에 대한 보고서를 발표했다. 2017년에 전세계 기업 및 개인 사용자는 페트야 또는 워너크라이와 같은 대규모의 랜섬웨어 공격에 시달려야 했으며, 그 피해는 수십억 달러에 이르는 것으로 알려졌다고 업체 측은 설명했다. 그러나 안드로이드용 악성코드 제작자 또한 새로운 수익원을 찾고 있기 때문에 PC용 랜섬웨어만이 피해를 입힌 것은 아니라고 덧붙였다. 장애인의 장치 이용을 돕기 위해 설계된 안드로이드의 접근성 서비스를 악용하는 사례는 안드로이드용 랜섬웨어가 포함하는 가장 교활한 기능 가운데 하나로 나타났다. 블랙햇은 피해자로부터 금전을 강탈하려는 시도를 더욱 강화한 것이다.   이러한 행위를 보여주는 가장 상징적인 사례 가운데 하나는 이셋에 의해 발견된 더블라커(DoubleLocker) 랜섬웨어다. 이 랜섬웨어는 2017년의 마지막 달에 발견됐지만 2017년 한 해 동안의 랜섬웨어 활동 보고에서 가장 주목할 만한 활동 가운데 하나다. 전반적으로 안드로이드 랜섬웨어는 지난 몇 년 동안 성장세가 두드러지지 않았다고 볼 수 있지만, 2017년도에 이러한 추세의 변화가 감지됐으며, 안드로이드용 악성코드가 지속적으로 증가하는 가운데 더블라커 등 포함한 다수의 안드로이드용 랜섬웨어 활동이 관찰되고 있다. 이셋코리아의 김남욱 대표는 “랜섬웨어 공격 대상은 윈도우 PC로부터 리눅스, 안드로이드 장치 등으로 확대되고 있기 때문에 주의가 필요하다”며, “특히 리눅스나 안드로이드 운영체제는 스마트폰과 태블릿 PC 뿐만 아니라, 커넥티드 카, 스마트 가전, 네비게이션 장치, 의료 기기, 산업용 제어 장치 등 다양한 IoT 기기를 구동하기 위한 운영체제로 사용의 폭을 넓혀가고 있다”고 밝혔다. editor@itworld.co.kr

이셋코리아 2018.02.21

이셋코리아, 안드로이드 기기 잠그는 변종 랜섬웨어에 주의 요망

이셋코리아(www.estc.co.kr)는 안드로이드 기기를 대상으로 하는 새로운 랜섬웨어가 발견되어 사용자의 주의를 요한다고 발표했다. 이셋은 최근 Android/LockScreen.Jisut로 잘 알려진 안드로이드 랜섬웨어의 변종을 발견했는데, 감염된 안드로이드 기기를 잠근 후 중국어 음성으로 40위안의 몸값을 요구하는 것이라고 밝혔다. 이 랜섬웨어는 이셋 제품에 의해 Android/Lockerpin으로 진단되며, 설정된 잠금화면의 PIN 코드를 재설정하는 기능을 포함하고 있기 때문에 사용자가 지정한 기존의 PIN 코드로는 잠긴 화면을 해제할 수 없다. 이 랜섬웨어는 악성의 드로퍼를 통해 확산되며, 사용자가 정상적인 앱으로 위장한 랜섬웨어를 실행한 후 화면 하단의 ‘Click for free activation’ 버튼을 누르면 활성화된다. 이후 랜섬웨어는 관리자 권한을 요청함으로써 삭제나 제거를 어렵게 만들고 장치를 잠근 후 몸값을 요구하는 음성 메시지를 재생한다. 이셋에 따르면, 이번에 발견된 랜섬웨어는 이미 알려진 Jisut 랜섬웨어의 변종 가운데 하나다. 실제로 Jisut 랜섬웨어 및 변종에 감염된 기기의 수는 2015년에 비해 약 두 배로 증가했지만 실제로 몸값을 지불한 희생자는 많지 않으며, 몸값을 요구하지 않고 장치를 잠그기만 한 경우도 대부분이었다. 물론 몇몇 몸값을 요구한 변종 랜섬웨어는 지불 프로세스를 안내하거나 바로 몸값을 지불할 수 있는 QR 코드가 추가된 사례도 있었으며, 연락처에 등록된 모든 사용자에게 랜섬웨어가 포함된 링크를 SMS 메시지로 전송하는 기능을 포함하는 경우도 발견됐다. Android/Lockscreen.Jisut 랜섬웨어를 제거하는 방법은 먼저 ‘설정’의 ‘안드로이드 기기 관리자’에서 부여된 관리자 권한을 취소한 후 설치된 랜섬웨어 앱을 제거할 수 있습니다만, 이 방법은 랜섬웨어가 기기를 잠그기 전에 이뤄져야 효과가 있다. 루팅된 안드...

랜섬웨어 이셋코리아 2017.03.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.