잉카인터넷 시큐리티대응센터 블로그

최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다. 해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있..

인보이스로 위장한 피싱 메일 주의! 최근, 인보이스로 위장한 HTML 파일을 통해 Microsoft Outlook 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 "[HardRock Invoice#1271833 17] Thanks for your order, tax invoice issued for goods dipatched"라는 제목으로 유포되며, 호주의 온라인 패션 의류 업체 H사를 사칭해 첨부파일 실행을 유도한다. 사용자가 첨부된 html 파일을 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 한다. 이때, 이메일 주소 필드에는 수신인을 타깃으로 이메일 주소가 미리 입력되어 있기 때문에 사용자들은 무심코..

최근, 가짜 DDoS 보호 팝업을 통한 악성코드 유포 캠페인이 발견됐다. 보안 업체 Sucuri는 공격자가 악성코드 유포를 위해 가짜 DDoS 보호 팝업을 띄우는 스크립트를 취약한 WordPress 사이트에 삽입했다고 알렸다. 이러한 사이트에 접속할 경우 DDOS GUARD라는 프로그램으로 위장한 ISO 파일이 다운로드 되는데, 이때 해당 프로그램을 통해 얻은 인증 코드 입력을 요구하는 팝업을 띄운다. 만약 인증 코드를 얻기 위해 ISO 파일 내부의 security_install.exe 파일을 실행할 경우 “NetSupport RAT”과 "RaccoonStealer" 악성코드가 설치된다. Sucuri는 웹 사이트 관리자 계정에 강력한 암호와 2FA(이중 보안 인증)을 사용할 것을 권고했다. 사진출처 : ..