잉카인터넷 시큐리티대응센터 블로그

우크라이나 보안국(SSU)는 모바일 기기 원격 해킹을 전문적으로 수행하는 국제 해킹 그룹 "피닉스"의 구성원 5명을 체포했다. 해커 그룹 "피닉스"의 목적은 사용자의 계정에 원격으로 액세스한 후 전자 결제 및 은행 계좌를 탈취하거나 사용자 정보를 판매하여 수익을 창출하는 것이다. 해당 그룹은 이번 공격을 위해 모바일 로그인 포털로 위장한 피싱 사이트를 만들었으며 2년동안 수백명의 사용자 계정을 탈취한 것으로 밝혀졌다. 사진 출처 : SSU 출처 [1] SSU (2021.11.30) - SSU exposes transnational group that hacked phones, stole passwords and sold confidential information https://ssu.gov.ua/en/..

최근 코로나 백신 제조업체를 공격하는 Tardigrade 악성코드가 발견됐다. 2021년 4월에 첫번째 공격이 탐지되었으며 그 후 6개월 뒤인 2021년 10월경 두번째 시설의 피해가 나타났다. 피해 업체 두 곳 모두 코로나 백신을 제조하는 업체이며 이번 공격에 대해 분석 중이라고 밝혔다. Tardigrade 악성코드는 실행 시 업체의 중요한 정보를 탈취하고, 공격자의 명령을 통해 제어할 수 있다. 이로 인해 감염된 PC에 랜섬웨어를 다운로드한 후 실행하여 최근 중요해진 코로나 백신 생산을 방해하고, 금전 탈취를 시도한다. 출처 [1] Wired (2021.11.30) - Devious ‘Tardigrade’ Malware Hits Biomanufacturing Facilities https://www...

국가의 지원을 받는 해킹 그룹 APT37은 Windows 및 Android 기기를 감염시킬 수 있는 Chinotto 악성코드를 유포하기 시작했다. 해당 악성코드는 피싱 메일이나 스미싱 공격을 통해 유포되고 있으며 현재 한국의 언론인, 탈북자, 인권 활동가를 표적으로 삼고있다. 악성코드가 실행되면 사용자의 PC에서 정보를 탈취하고, 공격자의 C&C 서버에 연결해 전송한다. 또한, 공격자의 서버에서 명령을 받아 감염된 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.11.30) - ScarCruft surveilling North Korean defectors and human rights activists https://secu..

2021년 11월경, 새롭게 등장한 Midas 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "규칙", "랜섬웨어 정보", "Midas 랜섬웨어 그룹에 대한 정보"가 작성돼 있다. 게시된 글에 따르면 자신들은 어떠한 정부단체에도 속해 있지 않으며 정치적 목표를 추구하지 않고, 단지 이윤만을 위해 데이터를 탈취한다고 한다. 사이트에 게시된 데이터는 현재까지 총 26건으로 다양한 국가와 산업군의 데이터를 탈취한 것으로 보인다. [사진 출처: 다크웹]

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..

잉카인터넷 대응팀은 2021년 11월 19일부터 2021년 11월 25일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BoomBye" 외 2건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 2021년 11월 19일 BoomBye 랜섬웨어 파일명에 ".boombye" 확장자를 추가하고 "_read_me_bro.txt"라는 랜섬노트를 생성하는 "boombye" 랜섬웨어가 발견됐다. 2021년 11월 21일 FileDecrypt 랜섬웨어 파일명에 ".file.decrypt" 확장자를 추가하고 "#File.decrypt#.txt"라는 랜섬노트를 생성하는 "FileDecrypt" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 11월 24일 ..

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시..

최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에..

최근, 러시아어를 사용하는 다크웹 포럼에 한국인 개인정보 판매글이 게시됐다. 판매자는 7억건의 개인정보를 판매한다고 언급하며 판매하는 데이터에 ID, 이름, 주민등록번호 및 휴대폰 번호 등의 주요 개인정보가 있다고 밝혔다. 게시자가 공개한 데이터에는 [그림 2]와 같이 5개의 웹사이트와 갬블 사이트에서 탈취한 정보가 있었다. 또한, 각 엑셀 파일들에서는 ID, 비밀번호 등의 회원정보와 주민등록번호 및 휴대폰 번호 등의 개인정보가 확인됐다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다. 더불어 사이버 공격으로 인한 데..

최근, 러시아어를 사용하는 다크웹 포럼에 국내 한 주식투자방송의 회원정보가 게시됐다. 해당 글에는 주식투자방송 주소, 회원 정보 예시가 작성됐으며, 탈취한 정보를 다운로드 할 수 있는 링크를 공개해 모든 사용자들이 접근 가능하도록 했다. 게시자가 공개한 데이터에는 [그림 2]와 같이 약 19만 명의 회원들에 대한 이메일, 이름 및 휴대폰 번호 등의 정보가 존재했다. 최근 다수의 회원을 보유한 기업을 대상으로 하는 사이버 공격 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다. 더불어 사이버 공격으로 인한 데이터 침입 및 유출을 인지한 경우 수사기관과 한국인터넷진흥원에 신고..