잉카인터넷 시큐리티대응센터 블로그

최근 봇넷으로 알려진 "P2PInfect" 악성코드가 급속도로 전파 중인 정황이 발견됐다. 보안 업체 Cado Security는 확인된 건수가 지난 8월 말과 비교해 600배 증가했다고 언급하며 리눅스 환경에서 발견된 샘플의 분석 보고서를 공개했다. 공격자는 클라우드 서비스의 인스턴스를 노드로 구성하고 SSH를 사용해 악성코드를 유포한다. "P2PInfect" 악성코드는 피해자 시스템에서 스케줄러인 cron을 사용해 30분마다 기본 페이로드를 실행하도록 지속성을 설정한다. 또한, 로컬 호스트의 소켓으로 기본 페이로드의 메인 프로세스를 모니터링하며, 프로세스 종료로 바이너리가 삭제되면 다른 노드에서 메인 바이너리를 가져와 실행한다. 이 외에도 공격자의 SSH 키로 SSH Authorized keys 파일을..

최근 APT36 해커 그룹이 YouTube 앱을 사칭한 "CapraRAT" 악성코드를 배포하는 정황이 발견됐다. APT36 해커 그룹은 자체 운영 웹사이트와 사회 공학 기법을 사용해 구글 플레이 스토어 외부에서 악성코드를 배포한다. 사용자가 파일을 설치하면 "CapraRAT"은 마이크, 전면 및 후면 카메라를 이용한 녹음과 모니터링과 같은 수많은 위험 권한을 요청한다. 이때 사용자가 권한을 수락하면 공격자는 감염된 기기에서 통신 정보와 같은 민감한 개인 정보를 탈취한다. 보안 업체 SentinelLabs는 해당 공격이 카슈미르 분쟁 지역 관련 조직과 파키스탄 인권 운동가의 감시를 목적으로 사용된다고 언급했다. 외신은 해당 악성코드가 지속적으로 업데이트되고 있다고 덧붙이며, 공식 구글플레이 스토어 외부에서..

최근 WiFi를 사용하는 스마트폰의 텍스트 전송을 가로채 비밀번호를 훔치는 'WiKI-Eve' 공격이 발견됐다. 'WiKI-Eve'는 2013년 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용한다. 이때 BFI의 문제점은 정보 교환에 일반 텍스트 형식의 데이터가 포함돼 있어 암호화 키 크래킹 없이도 텍스트 데이터를 가로챌 수 있다. 해당 취약점으로 공격자는 단순히 네트워크 트래핑 모니터링 도구와 기계 학습 프레임 워크를 사용하여 비밀번호를 추론할 수 있다. 'WiKI-Eve'는 6자리 숫자 비밀번호일 경우 100회 미만의 시도에서 85%의 성공률을 가지며 모든 테스트에서 75%이상의 성공을 보이고 있다. 하지만 공격자와 액세스 포인트 사이의 거리가 멀 경우 추측 성공률이 감소하는 것으로 확인됐..

최근 “LockBit” 랜섬웨어의 공격이 차단된 시스템에서 “3AM” 랜섬웨어로 공격을 시도한 정황이 발견됐다. “3AM” 랜섬웨어는 Rust 언어를 사용하며 매개 변수로 공격을 설정할 수 있다. 공격을 시작하면 파일을 암호화하기 전에 보안 및 백업 관련 서비스를 종료하고 볼륨 섀도우 복사본을 삭제한다. 또한, 침투 테스트 도구인 Cobalt Strike와 사용자의 시스템 정책 설정을 확인하는 gpresult 명령을 사용하고, 원격 제어 도구인 PsExec를 사용해 권한을 상승시킨다. 이 외에도 whoami, netstat 및 wput 같은 명령어로 시스템을 정찰해 파일을 탈취하고, 지속성을 설정하기 위해 사용자를 추가하는 등의 공격을 한다. 이후 파일을 암호화해 파일명에 “.threeamtime” 확장..

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다. 사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다. 최종적으로 사용자의 시스템에서 C&C 서버로 파일..