2022/03 77

인도 정부와 군대를 대상으로 하는 APT 캠페인

최근, 미국의 네트워크 장비 제조 업체 Cisco가 인도 정부와 군대를 대상으로 하는 APT 캠페인을 발표했다. 해당 업체에 따르면 공격자가 다단계 인증 프로그램으로 위장한 "Crimson RAT" 악성코드를 인도 정부기관을 사칭한 사이트를 통해 유포했다고 알려졌다. 또한, 이 프로그램을 실행할 경우 해당 악성코드를 설치해 화면 스크린샷과 시스템 정보 등의 데이터를 공격자 C&C서버에 전송한다고 알렸다. Cisco는 이번 캠페인의 배후로 파키스탄의 Transparent Tribe APT 그룹을 예상하고 있다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco talosintelligence (2022.03.29) – Transparent Tribe campaign uses n..

암호화폐를 채굴하는 Verblecon 악성코드

최근, 미국의 보안 업체 Symantec이 "Verblecon" 악성코드 분석 보고서를 발표했다. 해당 업체는 "Verblecon" 악성코드가 피해자의 시스템에 암호화폐 채굴 소프트웨어를 설치하는 것을 목표로 하며, 채팅 앱 Discord의 액세스 토큰을 훔치기도 한다고 알렸다. 또한 Symantec의 연구원들은 해당 악성코드가 랜섬웨어 및 스파이 활동을 포함해 더 심각한 공격에 사용될 가능성이 있다고 언급했다. 사진 출처 : Symantec Enterprise Blogs 출처 [1] Symantec Enterprise Blogs (2022.03.29) - Verblecon: Sophisticated New Loader Used in Low-level Attacks https://symantec-ente..

미국의 선거 관계자를 대상으로 하는 피싱 캠페인

최근, FBI가 미국 중간선거를 앞두고 선거 관계자를 대상으로 하는 피싱 캠페인에 대해 경고했다. FBI에 따르면, 공격자는 로그인 자격 증명을 도용하는 웹사이트 링크가 포함된 피싱 메일을 유포하며, 해당 피싱 메일은 청구서로 위장한 첨부파일을 포함한다. 이에 대해 FBI는 직원들이 의심스러운 이메일을 보고해야 하며, 확인되지 않은 이메일의 첨부파일을 열지 않을 것을 권고했다. 출처 [1] FBI (2022.03.29) - Cyber Actors Target US Election Officials with Invoice-Themed Phishing Campaign to Harvest Credentials https://www.ic3.gov/Media/News/2022/220329.pdf

이메일 목록 사이에 침투하는 IcedID 악성코드

최근, 이스라엘의 보안 업체 Intezer가 "IcedID" 악성코드 캠페인을 발표했다. 해당 업체에 따르면 "IcedID"는 미리 탈취한 계정의 메일에서 지인과 주고 받은 메일 중간에 피싱 메일을 회신하는 방법인 대화 하이재킹(conversation hijacking)을 통해 유포된다고 알려졌다. 또한, 피싱 메일에는 문서 파일로 위장한 링크 파일과 DLL 파일이 압축되어 있으며 링크 파일을 실행할 경우 DLL 파일이 "IcedID"의 페이로드를 메모리에 로드해 실행한다고 알렸다. Intezer는 "이러한 유형의 공격을 탐지하려면 메모리 내부의 악성 파일을 탐지할 수 있어야 한다."고 언급했다. 사진출처 : Intezer 출처 [1] Intezer (2022.03.28) – New Conversatio..

미국의 투자 은행 Morgan Stanley를 사칭한 보이스 피싱

최근, 미국의 투자 은행 Morgan Stanley를 사칭한 보이스 피싱으로 인해 고객 계정이 유출되는 사건이 발생했다. Morgan Stanley는 공격자가 보이스 피싱을 통해 Morgan Stanley Online 계정 정보를 탈취한 후, 송금 서비스를 이용해 자신의 은행 계좌로 돈을 이체했다고 전했다. 이와 관련해 해당 업체는 이름, 주소 및 계좌번호 등의 정보가 노출됐을 수 있다고 언급했다. 현재, Morgan Stanley는 공격의 영향을 받는 모든 고객의 계정을 비활성화했으며 자사의 시스템은 안전하게 유지되고 있다고 알렸다. 출처 [1] Morgan Stanley (2022.03.18) - Morgan Stanley Wealth Investment data breach https://www.d..

Redis 서버를 대상으로 하는 Muhstik 봇

최근 Juniper Threat Labs의 연구원들이 CVE-2022-0543 취약점을 악용해 Redis 서버를 표적으로 삼는 공격을 발견했다. CVE-2022-0543은 Redis에서 패키징 문제로 인해 발생하는 원격 코드 실행 취약점이다. 연구원들은 공격자가 해당 취약점을 악용해 악성 셸 스크립트("russia.sh")를 다운로드하며, 해당 스크립트는 Muhstik 봇의 변종 바이너리를 다운로드한다고 알렸다. 또한, 연구원들은 Muhstik 봇이 파일 다운로드, 셸 명령, Flood attacks 및 SSH 무차별 대입 공격 등의 명령을 수신한다고 언급하며 Redis 서비스를 최신 버전으로 패치할 것을 권고했다. 사진 출처 : Juniper Threat Labs 출처 [1] Juniper Threat..

도움말 파일에 숨겨진 Vidar 악성코드

최근, 미국의 보안 업체 Trustwave가 Microsoft 도움말 파일에 숨겨진 "Vidar" 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 "Vidar"는 메일의 첨부파일을 통해 유포되며 첨부파일 안에 ".chm" 확장자를 가진 도움말 파일을 실행할 경우 "Vidar"가 실행된다고 알려졌다. 또한, 해당 악성코드는 브라우저와 애플리케이션에서 정보를 수집하며 수집한 데이터는 공격자 C&C 서버로 전송한다고 알렸다. 사진출처 : Morphisec 출처 [1] Trustwave (2022.03.24) – Vidar Malware Launcher Concealed in Help File https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/..

VPN으로 위장하여 유포된 악성 앱

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 ..

네티스코리아 MEX01 버퍼 오버플로우 취약점

개요 ㈜넷유 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - MEX01 v1.9.19 및 이후 버전 참고자료 https://www.boho.or.kr/data/secInfoView.do?bulletin_writing_sequence=66576 https://netu.co.kr/

취약점 정보 2022.03.28

IPTIME NAS2dual의 불충분한 인증으로 인한 정보 유출 취약점

개요 (주)EFM네트웍스 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - ipTIME NAS 전제품 v1.4.82 이후 버전 참고자료 https://www.boho.or.kr/data/secInfoView.do?bulletin_writing_sequence=66575 http://iptime.com/iptime

취약점 정보 2022.03.28