잉카인터넷 시큐리티대응센터 블로그

AtlasCross라는 새로운 APT 해커 그룹이 미국 적십자를 사칭해 피싱 메일로 백도어 악성코드를 배포하는 캠페인이 발견됐다. 보안업체 NSFOCUS에 의하면 AtlasCross 측은 헌혈 캠페인에 참여할 것을 요청하는 피싱 메시지를 사용자에게 보낸다. 해당 메시지에는 워드 문서 첨부 파일이 포함돼 있으며 첨부 파일을 설치하면 악성 매크로가 실행된다. 매크로는 Windows 장치에서 ZIP 아카이브를 추출해 DangerAds 시스템 프로파일러 및 맬웨어 로더를 실행한다. 이후 Microsoft Office Updates 라는 스케쥴러를 생성하고 3일동안 DangerAds를 실행해 호스트 환경을 확인한다. 만약 시스템의 사용자 이름이나 도메인 이름에 특정 문자열이 있는 경우 내장된 쉘코드를 실행해 최종..

최근 봇넷으로 알려진 "P2PInfect" 악성코드가 급속도로 전파 중인 정황이 발견됐다. 보안 업체 Cado Security는 확인된 건수가 지난 8월 말과 비교해 600배 증가했다고 언급하며 리눅스 환경에서 발견된 샘플의 분석 보고서를 공개했다. 공격자는 클라우드 서비스의 인스턴스를 노드로 구성하고 SSH를 사용해 악성코드를 유포한다. "P2PInfect" 악성코드는 피해자 시스템에서 스케줄러인 cron을 사용해 30분마다 기본 페이로드를 실행하도록 지속성을 설정한다. 또한, 로컬 호스트의 소켓으로 기본 페이로드의 메인 프로세스를 모니터링하며, 프로세스 종료로 바이너리가 삭제되면 다른 노드에서 메인 바이너리를 가져와 실행한다. 이 외에도 공격자의 SSH 키로 SSH Authorized keys 파일을..

최근 APT36 해커 그룹이 YouTube 앱을 사칭한 "CapraRAT" 악성코드를 배포하는 정황이 발견됐다. APT36 해커 그룹은 자체 운영 웹사이트와 사회 공학 기법을 사용해 구글 플레이 스토어 외부에서 악성코드를 배포한다. 사용자가 파일을 설치하면 "CapraRAT"은 마이크, 전면 및 후면 카메라를 이용한 녹음과 모니터링과 같은 수많은 위험 권한을 요청한다. 이때 사용자가 권한을 수락하면 공격자는 감염된 기기에서 통신 정보와 같은 민감한 개인 정보를 탈취한다. 보안 업체 SentinelLabs는 해당 공격이 카슈미르 분쟁 지역 관련 조직과 파키스탄 인권 운동가의 감시를 목적으로 사용된다고 언급했다. 외신은 해당 악성코드가 지속적으로 업데이트되고 있다고 덧붙이며, 공식 구글플레이 스토어 외부에서..

최근 WiFi를 사용하는 스마트폰의 텍스트 전송을 가로채 비밀번호를 훔치는 'WiKI-Eve' 공격이 발견됐다. 'WiKI-Eve'는 2013년 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용한다. 이때 BFI의 문제점은 정보 교환에 일반 텍스트 형식의 데이터가 포함돼 있어 암호화 키 크래킹 없이도 텍스트 데이터를 가로챌 수 있다. 해당 취약점으로 공격자는 단순히 네트워크 트래핑 모니터링 도구와 기계 학습 프레임 워크를 사용하여 비밀번호를 추론할 수 있다. 'WiKI-Eve'는 6자리 숫자 비밀번호일 경우 100회 미만의 시도에서 85%의 성공률을 가지며 모든 테스트에서 75%이상의 성공을 보이고 있다. 하지만 공격자와 액세스 포인트 사이의 거리가 멀 경우 추측 성공률이 감소하는 것으로 확인됐..

최근 “LockBit” 랜섬웨어의 공격이 차단된 시스템에서 “3AM” 랜섬웨어로 공격을 시도한 정황이 발견됐다. “3AM” 랜섬웨어는 Rust 언어를 사용하며 매개 변수로 공격을 설정할 수 있다. 공격을 시작하면 파일을 암호화하기 전에 보안 및 백업 관련 서비스를 종료하고 볼륨 섀도우 복사본을 삭제한다. 또한, 침투 테스트 도구인 Cobalt Strike와 사용자의 시스템 정책 설정을 확인하는 gpresult 명령을 사용하고, 원격 제어 도구인 PsExec를 사용해 권한을 상승시킨다. 이 외에도 whoami, netstat 및 wput 같은 명령어로 시스템을 정찰해 파일을 탈취하고, 지속성을 설정하기 위해 사용자를 추가하는 등의 공격을 한다. 이후 파일을 암호화해 파일명에 “.threeamtime” 확장..

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다. 사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다. 최종적으로 사용자의 시스템에서 C&C 서버로 파일..

최근 가짜 앱 스토어를 사용해 은행 계정을 탈취하는 “MMRat” 악성코드가 발견됐다. 사용자가 공식 앱 스토어로 위장한 웹사이트에서 다운로드한 앱을 실행하면 “MMRat”이 설치된다. 그 후 “MMRat”은 Android 접근성 서비스 권한을 요청하고 개인 정보 및 사용자가 입력한 데이터를 수집해 공격자가 운영하는 원격 서버로 전송한다. 또한, 해당 악성코드는 장치가 사용 중이지 않을 때를 확인한 후 재부팅을 시도하고, 장치에 설치된 은행 앱의 계정 정보를 추가로 탈취한다. 최종적으로 “MMRat”은 악의적인 작업을 수행한 후 앱 설치 및 사용 흔적을 제거하고 자가 삭제된다. 외신은 Android 사용자에게 Google Play에서만 앱을 다운로드하고, 앱 설치 단계에서 액세스 권한을 요청할 경우에는 ..

MacOS를 공격하는 “XLoader” 악성코드가 생산성 앱인 OfficeNote로 위장해 유포되는 정황이 발견됐다. 보안 업체 SentinelOne은 “XLoader”를 인포스틸러이자 봇넷이라고 소개하며 2021년에 Java로 작성된 MacOS용 샘플을 발견했다고 언급했다. 발견 당시 MacOS가 2009년에 출시된 Mac OS X Snow Leopard 버전 이후로 자바 실행 환경(JRE)을 기본 제공하지 않아 Java를 별도 설치한 업체를 대상으로 공격한다고 덧붙였다. 한편, 새로 발견한 샘플은 C 및 Object-C 언어로 작성돼 기존의 종속성 문제가 없다고 전했다. 또한, OfficeNote.dmg라는 파일명으로 유포되며 Apple 개발자의 서명을 사용한다고 설명했다. 다음으로 SentinelO..

최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 ..

수백만 명의 개인정보를 탈취한 “Raccoon” 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다. “Raccoon” 스틸러는 감염된 시스템의 자격 증명과 암호화폐 지갑 정보 등을 탈취해 ‘%Temp%’ 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 보안 업체 CyberInt는 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다. 또한, 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다고 언급했다. 한편, 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다고 덧붙였다. 이에 대해 CyberInt ..