합법적인 메일로 위장하는 SubdoMailing 캠페인

최근 합법적인 도메인으로 위장해 대량의 스팸 메일을 발송하는 “SubdoMailing” 캠페인이 발견됐다. 공격자는 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting and Conformance)의 이메일 인증을 이용해 스팸 필터를 우회한다. 또한, 더 이상 사용하지 않는 도메인을 가리키는 CNAME과 SPF 레코드를 하이재킹하는 등 합법적인 도메인의 하위 도메인을 탈취해 공격에 이용한다. 이로 인해 공격자는 합법적인 사용자로 위장해 스팸 메일을 정상 메일처럼 발송할 수 있다. 한편, 사용자는 메일 본문에 있는 버튼을 클릭할 경우 일련의 리다이렉..

최신 보안 동향 2024.02.28 1

다시 돌아온 Bumblebee 악성코드

작년에 자취를 감춘 “Bumblebee” 악성코드가 VBA 매크로를 사용하는 이메일 캠페인과 함께 돌아왔다. 보안 업체 Proofpoint는 미국 기업이 수신한 이메일 캠페인을 분석해 두 가지 특징을 발표했다. 첫 번째는 이메일의 OneDrive 링크가 연결하는 Word 문서이다. 이 문서는 VBA 매크로를 지원하며, 스크립트를 사용해 “Bumblebee”를 포함한 추가 페이로드를 다운로드한다. 이에 대해 기존에 발견된 캠페인 중 VBA 매크로를 사용한 사례가 전체 230개 중 1개에 불과하다며 그 차이를 언급했다. 두 번째 특징은 메일의 발신자 주소가 TA579로 알려진 조직에서 사용한 것과 동일하다는 것이다. 해당 특징을 최근 사이버 범죄 현황에 비추었을 때, 많은 악성코드와 조직이 활동을 중단했다가..

최신 보안 동향 2024.02.14 0

우크라이나 업체를 공격하는 Solntsepek 해커 그룹

우크라이나의 통신 서비스 제공 업체인 Kyivstar의 핵심 네트워크 시스템이 모두 삭제된 정황이 발견됐다. 우크라이나의 보안국(SSU)는 지난 23년 5월경에 피해 업체의 네트워크를 침해했다고 언급했다. 해당 사건으로 모바일 및 데이터 서비스가 중단돼, 약 2,500만 명의 모바일 및 가정용 인터넷 가입자 대부분이 인터넷에 접속하지 못했다고 전했다. 한편, 러시아의 Solntsepek 해커 그룹이 자신들이 피해 업체의 컴퓨터 10,000대와 서버 수천 대를 삭제했다고 주장하는 글을 텔레그램에 게시했다. 또한 피해 업체가 우크라이나 군대, 정부 기관 및 법 집행 기관에 통신을 제공하기 때문에 공격했다고 덧붙였다. 보안국은 Solntsepek 해커 그룹이 Sandworm 러시아 군사 해커 그룹의 배후에 있..

최신 보안 동향 2024.01.19 0

CISA와 FBI의 AndroxGh0st 악성코드 주의 권고

미국의 CISA와 FBI에서 “AndroxGh0st” 악성코드의 침해 지표와 기술 정보를 발표하면서 주의할 것을 권고했다. “AndroxGh0st” 악성코드는 웹사이트의 자격 증명을 탈취하거나 봇넷을 생성하는 Python 스크립트이다. CISA와 FBI 측은 해당 악성코드가 사용한 3개의 원격 코드 실행 취약점과 공격 방식을 공개했다. 첫 번째로 CVE-2017-9841로 번호가 매겨진 취약점을 이용해 PHPUnit 모듈을 공격한다. 해당 취약점은 PHPUnit 모듈에서 HTTP POST 요청에 있는 PHP 코드를 제대로 검증하지 않아 발생한다. 이를 이용한 공격자는 통합 자원 식별자(URI)를 이용해 악성 파일을 다운로드하거나 악성 웹사이트를 만들어 백도어로 사용하는 등의 공격을 한다. 두 번째는 오픈..

최신 보안 동향 2024.01.19 19

Zimbra 제로데이 취약점을 이용한 국제 정부 기관 공격

구글의 Threat Analysis Group (TAG)에서 국가 정부 기관이 공격받은 다수의 사건을 공개했다. TAG 측은 그리스와 튀니지 등 5개의 국가 정부 기관이 공격받은 사건을 소개하며, 공격자가 모든 사건에서 사용한 제로데이 취약점을 언급했다. 이 취약점은 CVE-2023-37580으로 알려졌으며, 이메일 솔루션 업체인 Zimbra의 프로그램에서 링크 내의 매개 변수를 제대로 처리하지 못해 발생하는 XSS 취약점이라고 설명했다. 해당 취약점을 사용한 첫 번째 공격은 6월 경 그리스 정부 기관에서 발생했다. 이때 공격자는 취약점을 악용한 링크를 메일 본문에 작성해 관계자에게 전송하는 방식으로 피해 기관에 침투했고 이메일과 첨부 파일 등의 데이터를 탈취했다. 며칠 후인 7월 초에 이 사건이 알려지..

최신 보안 동향 2023.11.21 0