잉카인터넷 시큐리티대응센터 블로그

최근 카스퍼스키가 UEFI 부트킷을 사용해 실행하는 핀스파이(FinSpy) 악성코드의 정보를 공개했다. 카스퍼스키에 따르면 핀스파이 악성코드의 실행을 위해 UEFI 부트킷을 사용하는 경우는 처음이며, 해당 악성코드를 실행하면 파일 목록, 웹캠 데이터 등의 사용자 데이터를 탈취할 수 있다고 한다. 또한, 탐지 우회를 위해 난독화 등의 기술이 적용돼 탐지가 어렵다고 언급했다. 추가로, 핀스파이 관련 IoC를 보고서에 공개했으며 추후에 추가 분석 정보를 고객들에게 제공할 것이라고 알렸다. 출처 [1] Kaspersky (2021.09.30) - FinSpy: unseen findings https://securelist.com/finspy-unseen-findings/104322/

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다. 해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다. 아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다. 2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow 'SparrowDoor' 악성코드는 보안 프로그램으로..

국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 정부의 지원을 받아, 긴 시간 동안 여러 국가 및 기관을 대상으로 공격을 수행해왔다. 오랜 활동으로 Cobalt Strike와 같이 알려진 악성 코드도 존재하지만, 지속적으로 감염 방식에 변화를 주며 공격을 시도하고 있다. 최근 캠페인에서는 제로데이 취약점을 사용하여 공격을 시도하기도 하였으며, 새로운 악성코드가 발견되기도 하였다. Turla Turla 그룹은 러시아 정부를 배후로 둔 해커그룹으로, 2004년부터 활동한 것으로 추정된다. 해당 그룹은 각국의 군사 및 교육, 연구기관 등 여러 산업 분야를 대상으로 APT 공격을 수행한다. 9월 중순에는 이 그룹의 것으로 추정되는 새로운 악성코드가 발견되었다. 이 악성코드는 미국과 독일, 아프가니스탄 정..

1. 랜섬웨어 피해 사례 2021년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "소디노키비(Sodinokibi)", "락빗(LockBit)", "랜섬EXX(RansomEXX)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 7월에는 독일 화학 유통 업체 Brenntag이 "다크사이드(DarkSide)" 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 통신 업체 SAC Wireless와 일본 광학 및 복사 제품 업체 Olympus가 각각 "콘티(Conti)"와 "블랙매터(BlackMatter)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 3분기에 미국의 IT 관리용 솔루..

트로이 목마 Cerberus 기반으로 만들어진 새로운 형태의 Android 뱅킹 트로이목마 ERMAC가 발견되었다. ERMAC은 7월 말에 등장하여 Google Chrome, 안티바이러스, 뱅킹 및 미디어 앱으로 위장하여 사용자들에게 유포되었다. 해당 악성코드는 Cerberus와 동일하게 사용자의 개인정보를 탈취, 설치된 응용 프로그램을 동작 할 수 있다. RAT와 같이 강력한 기능을 가진 것은 아니지만 모바일 뱅킹 사용자 및 금융기관에 위협적인 악성코드임으로 주의가 필요하다. 출처 [1] threatfabric (2021-09-29) - ERMAC - another Cerberus reborn https://www.threatfabric.com/blogs/ermac-another-cerberus-reb..