잉카인터넷 시큐리티대응센터 블로그

최근 Zeppelin 랜섬웨어의 변종이 판매 중이다. 지난 3월에 활동을 재개한 Zepplin 랜섬웨어 운영진이 최근 새로운 버전의 랜섬웨어를 판매한다고 발표했다. 이들이 판매하는 Zeppelin 랜섬웨어는 Buran으로도 불리며 Delphi 언어를 기반으로 작성됐다. 현재 약 2,300 달러에 판매되고 있으며, 이번 변종은 암호화의 안정성이 향상됐다고 알려졌다. 또한, 해당 랜섬웨어 운영진은 장기 사용자에 대해 특별 대우를 할 것이라고 알렸다. 출처 [1] bleepingcomputer (2021.05.25) - Zeppelin ransomware comes back to life with updated versions https://www.bleepingcomputer.com/news/security..

개요 Apple 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - watchOS v7.5 및 이후 버전 - tvOS v14.6 및 이후 버전 - macOS Catalina v2021-003 및 이후 버전 - macOS Mojave v2021-004 및 이후 버전 - iOS, iPadOS v14.6 및 이후 버전 - macOS Big Sur v11.4 및 이후 버전 - Safari v14.1.1 및 이후 버전 참고자료 https://support.apple.com/en-us/HT201222 https://support.appl..

STRRAT 악성코드는 Java 기반의 RAT으로 최근, 대규모 스팸 메일 캠페인으로 다시 모습을 드러냈다. 지난 2020년에 처음 등장하여 1년간 활발하게 유포된 STRRAT 악성코드는 사용자 PC의 파일에 '.crimson' 확장자를 추가하여 랜섬웨어에 감염된 척한다. 하지만 해당 파일은 감염되지 않았으며, 키로깅과 브라우저 및 이메일 자격증명 등의 사용자 정보를 훔치는 등의 악성 동작을 한다. 마이크로 소프트에 따르면, 최근 캠페인의 악성코드는 STRRAT 1.5 버전으로 이전보다 더욱 난독화되고, 모듈화되어 있음을 발견하였다. 사진 출처: Microsoft Security Intelligence 트위터 출처 [1] latesthackingnews (2021.05.25) – Microsoft war..

인도네시아 시민들의 개인 정보 2억개가 유출되어 해킹 포럼에 게시된 이후, 정부는 추가 범죄 예방 조치로 "RaidForums" 해킹 포럼에 대한 접속을 차단했다. 해킹 포럼에 정보를 유출시킨 게시자는 인도네시아 국민들의 주민등록번호, KK 번호, 성명, 생년월일 및 기타 민감한 정보들이 포함되어 있다고 주장했다. 인도네시아의 통신 정보 기술부(Kominfo)는 유출된 정보를 토대로 철저한 조사를 진행하고 있다고 밝혔으며 공격자가 국가 의료 서비스 관리자의 PC에서 인도네시아 국민들의 개인정보를 탈취했을 것이라는 가능성을 제시했다. 사진 출처 : https://www.bleepingcomputer.com/news/security/indonesian-govt-blocks-access-to-raidforum..

다크웹에서 IoT 노드를 사용하여 DDoS 공격을 수행하는 "Simps"라는 이름의 봇넷이 발견되었다. Uptycs 사이버 위협 연구팀은 특정 Discord 메시지를 단서로 해당 봇넷이 Keksec 그룹의 활동이라고 규정했다. 현재 캠페인에서는 Realtek 및 Linksys 장비의 취약점을 악용하여 Gafgyt 봇넷을 통해 기기를 감염시킨 후, Simps를 다운로드 및 실행시킨다. 실행된 Simps는 기기가 감염되었다는 사실을 기록하는 로그 파일을 삭제하고 C&C 서버에 연결한 후, Mirai 및 Gafgyt 모듈을 사용하여 DDoS 공격을 수행한다. 사진 출처 : https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-gr..

Qlocker 랜섬웨어의 랜섬머니 협상을 위한 Tor 사이트에 "이 사이트는 곧 폐쇄 될 것입니다."라는 메시지를 표시했다. 해당 사이트는 결국 폐쇄되었고, 이로 인해 피해를 입은 사용자들은 더 이상 랜섬머니를 지불할 방법이 사라졌다. 또한, Qlocker 랜섬웨어 사이트의 폐쇄가 최근 랜섬웨어에 따른 법 집행 활동 증가에 따라 두려움에 의해 잠정 중단을 했을 수도 있다고 외신은 밝혔다. Qlocker 랜섬웨어 그룹은 QNAP NAS 장치의 취약점을 악용하여 유포되었으며 한달에 약 $350,000의 수익을 챙긴 것으로 확인된다. 사진 출처 : https://www.bleepingcomputer.com/news/security/qlocker-ransomware-shuts-down-after-extortin..

개요 Apple 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Boot Camp v6.1.14 참고자료 https://support.apple.com/ko-kr/HT212517

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Prime Infrastructure v3.9 및 이후 버전 - Cisco EPN Manager v5.1 및 이후 버전 - Cisco Modeling Labs SW v2.2.1 이후 버전 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3 https://tools.cisco.com/security/center..

과학기술정보통신부는 랜섬웨어 침해사고를 예방하고 사고 발생 시 신속한 대응을 위한 "랜섬웨어 대응 지원반"을 설치하여 운영한다고 밝혔다. 최근 배달 대행 플랫폼 기업이 공격을 받아 피해를 입은 사례와 같이 국내외 기업을 대상으로 랜섬웨어 침해사고가 집중적으로 발생하고 있다. 따라서 과학기술정보통신부는 랜섬웨어 공격자의 협상에 응하지 말고 침해사고 신고를 통해 시스템 복구 등의 기술지원을 받을 것을 권고하였다. 사진 출처 : https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&bbsSeqNo=94&nttSeqNo=3180261 출처 [1] 과학기술정보통신부 (2021-05-20) - 과기정통부, ‘랜섬웨어 대응 지원반’ 구성·운영 https://..

잉카인터넷 대응팀은 2021년 5월 14일부터 2021년 5월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Sick” 외 3건, 변종 랜섬웨어는 “Nefilim” 외 3건이 발견됐다. 이 중, 연결된 네트워크를 감염할 수 있는 기능이 추가된 “MountLocker” 랜섬웨어가 발견됐고, 미 당국이 “DarkSide” 랜섬웨어 조직의 자원을 모두 압수해 해당 조직의 운영이 중단됐다. 2021년 5월 14일 Nefilim 랜섬웨어 파일명에 “.NEFILIM“ 확장자를 추가하고 “NEFILIM-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다. 2020.03.27 - [랜섬웨어 분석] Nefilim 랜섬웨어 2021년 5월 17일 ..