잉카인터넷 시큐리티대응센터 블로그

지난 2월 초, "Trend Micro" 에서 인도의 정부 기관 및 군사 기관을 상대로 정보 탈취 공격을 시도하는 "CapraRAT" 악성 앱을 발견하였다. 해당 악성 앱은 백그라운드 동작으로 단말기 내 다양한 정보들을 수집하고 외부 원격지의 명령을 받아 추가 악성 동작을 수행하기 때문에 사용자들의 주의가 필요하다. 먼저 악성 앱이 실행 되면, 사용자가 알아차리기 어렵도록 아이콘을 숨김 속성으로 변경하고 과도한 권한을 요구한다. 그 후, 백그라운드 동작으로 단말기 내 SMS 정보, 통화 기록, 이메일 주소 등에 접근하여 데이터를 수집 한다. 또한, 단말기의 위치 정보를 수집하기 위해 연결된 네트워크 정보와 GPS 값을 읽고 수집한다. 수집 한 정보들은 외부 원격지로 전송한다. 정보 수집 뿐만 아니라, 명..

잉카인터넷 대응팀은 2022년 2월 18일부터 2022년 2월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “TargetCompany" 1건, 변종 랜섬웨어는 "Hive" 외 3건이 발견됐다. 2022년 2월 18일 Hive 랜섬웨어 파일명에 ".key.qmam4" 확장자를 추가하고 "C3QW_HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료하고 시스템 복원을 무력화한다. 2022년 2월 20일 Stop 랜섬웨어 파일명에 ".gcyi" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에..

최근 우크라이나 사이버 경찰이 피싱 사이트를 통해 이용자들의 신용카드 정보를 훔친 피싱 그룹 일원 5명을 체포했다. 수사 기관은 공격자들이 자체 인프라에서 호스팅 되는 수십 개의 피싱 사이트를 만들고, 해당 사이트를 검색 엔진 상단에 노출시키기 위해 검색엔진 최적화 서비스를 이용했다고 알렸다. 또한 수사 기관은 카드의 CVV, PIN 및 만료 날짜 등의 세부 정보를 공개하는 것은 주의할 필요가 있다고 경고했다. 사진 출처 : 우크라이나 사이버 경찰청 출처 [1] 우크라이나 사이버 경찰청 (2022.02.22) - Кіберполіція викрила групу осіб у привласненні грошей 70 тисяч громадян за допомогою фішингу https://cyberpo..

최근 영국의 온라인 은행 Monzo를 대상으로 하는 모바일 피싱 캠페인이 발견됐다. 외신에 따르면 공격자들이 Monzo 은행을 사칭한 SMS를 전송해 피싱 사이트 접속을 유도한다고 알려졌다. 피싱 사이트는 전화번호와 메일 계정 등의 개인정보를 입력하는 창을 띄워 Monzo 계정을 탈취하기 위한 정보를 요구한다고 밝혀졌다. Monzo는 자신들을 사칭한 것으로 의심되는 SMS의 URL 접속을 주의하고 발신자 이름에 오타나 특수문자가 포함됐는지 확인해야 한다고 권고했다. 사진 출처 : Twitter 출처 [1] Twitter (2022.02.16) – Monzo를 사칭한 피싱 공격 관련 트위터 게시글 https://twitter.com/monzo/status/1493882826252603392?cxt=HHwW..

최근 네덜란드의 보안 업체 ThreatFabric이 유럽 은행을 대상으로 하는 "Xenomorph" 악성 앱을 Play Store에서 발견했다고 발표했다. 해당 업체에 따르면 "Xenomorph"가 성능 향상 앱 등의 정상 앱으로 위장해 Play Store에서 유포된다고 알려졌다. 또한, 외신은 앱을 설치할 경우 공격자의 C&C 서버에서 악성 페이로드를 다운로드 받아 은행 계좌 정보와 OTP 탈취를 시도한다고 언급했다. 보안 전문가는 이러한 앱의 설치를 방지하기 위해 다른 사용자들의 리뷰를 확인 후 앱을 설치해야 한다고 권고했다. 사진 출처 : ThreatFabric 출처 [1] ThreatFabric (2022.02) - Xenomorph: A newly hatched Banking Trojan htt..

최근 NFT 플랫폼 OpenSea 사용자들이 피싱 공격으로 인해 보유하고 있던 NFT 물품을 도난당했다. 이에 대해 보안 업체 Check Point는 공격자가 해당 사이트의 업데이트와 관련한 이슈를 담은 피싱 메일을 보낸 후, NFT 소유권을 이전하는 서명을 하도록 유도했다고 알렸다. 또한 해당 보안 업체는 거래에 서명하는 것은 항상 주의가 필요하며, 이메일에 첨부된 링크를 클릭하지 않을 것을 권고했다. 사진 출처 : Check Point 출처 [1] Check Point (2022.02.20) - New OpenSea attack led to theft of millions of dollars in NFTs https://blog.checkpoint.com/2022/02/20/new-opensea-at..

최근 보안 업체 Bishop Fox에서 픽셀레이션 된 텍스트의 난독화를 해제하는 오픈소스 도구 언리댁터(Unredacter)를 공개했다. 픽셀레이션은 특정 구역의 해상도를 크게 떨어뜨려 텍스트를 읽을 수 없게 만드는 난독화 기법이다. Bishop Fox는 해당 도구가 픽셀레이션 된 텍스트 주위의 일반 텍스트로부터 글꼴의 종류 및 크기에 대한 정보를 얻어 숨겨진 정보를 예측하는 방식으로 동작한다고 알렸다. 또한 해당 보안 업체는 민감한 정보를 가리기 위해 픽셀레이션 기법이 아닌 텍스트 전체를 덮는 검은색 박스를 사용할 것을 권고했다. 사진 출처 : Bishop Fox 출처 [1] Bishop Fox (2022.02.15) - Never, Ever, Ever Use Pixelation for Redactin..

2021년은 2년째 이어진 코로나바이러스의 대유행으로 재택근무, 원격근무 등 비대면 디지털 전환이 폭발적으로 이루어지며 이에 따른 부작용도 다수 발생한 해였다. 급격한 비즈니스 환경 변화로 미처 대비하지 못한 내부 시스템들이 외부로 노출되며 다양한 공격 루트를 제공하였으며, MS Exchange, Log4J 등 제로데이 취약점 노출, 고도화된 랜섬웨어 등장, 공급망 공격 등으로 인해 역대급 사이버 공격 피해액이 발생하였다. 국내에서도 기상청, 한국 원자력 연구원, 대우조선해양, 아파트 월패드 등 공공기관과 민간기업을 가리지 않고 사이버 공격이 이루어졌고 2022년에도 지속적인 피해가 발생할 것으로 예상된다. 이에 따라 잉카인터넷 시큐리티 대응센터(ISARC) 대응팀은 2021년 국내·외에서 발생한 각종 ..

최근 보안 업체 Guardicore는 "FritzFrog" 봇넷이 교육 및 정부 시스템을 대상으로 다시 유행하고 있다고 발표했다. 해당 봇넷은 SSH 서버를 감염시키기 위해 무차별 대입공격을 시도하고 공격에 성공할 경우 주기적으로 시스템 상태를 모니터링하며 Monero 코인을 채굴한다. 또한, P2P와 Fileless 기법을 사용해 공격자 추적과 봇넷 탐지를 어렵게 한다고 알려졌다. 보안 전문가는 이러한 종류의 공격을 예방하기 위해 미사용 SSH 서비스 비활성화와 SSH 포트 변경 및 SSH 공개키 인증 사용을 권고했다. 출처 [1] Akamai (2022.02.10) - FritzFrog: P2P Botnet Hops Back on the Scene https://www.akamai.com/blog/s..

최근 러시아의 보안 업체 Kaspersky는 UEFI 펌웨어에서 "MoonBounce" 악성코드를 발견했다고 발표했다. 해당 악성코드는 메인보드 UEFI 펌웨어에서 발견되었으며, 부팅 과정에서 OS에 후킹한다고 알렸다. 또한, 메인보드의 SPI 플래시 메모리에 저장되기 때문에 탐지와 삭제가 어렵다고 언급했다. Kaspersky는 앞으로 펌웨어를 노리는 공격이 보편화될 것이므로 주기적인 펌웨어 업데이트를 권고했다. 출처 [1] Kaspersky (2022.01.20) - MoonBounce: the dark side of UEFI firmware https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/