잉카인터넷 시큐리티대응센터 블로그

Royal 랜섬웨어는 2022년 9월경 등장해 미국 등의 국가에서 중요 인프라를 대상으로 한 공격에 활발히 사용되고 있다. 지난 11월에는 처음으로 LockBit 랜섬웨어를 제치고 사이버 범죄 활동에 가장 많이 사용된 랜섬웨어로 기록됐다. 또한, 최근에는 미국 보안 기관인 CISA에서 Royal 랜섬웨어에 대한 사이버 보안 권고 AA23-061A를 발표하기도 했다. 해당 랜섬웨어에 감염될 경우 암호화된 파일에 ".royal" 확장자를 추가하고 "README.TXT"란 이름의 랜섬노트를 생성한다. 이후, 랜섬노트를 통해 피해자에게 감염된 파일의 복구를 빌미로 랜섬머니를 요구한다. 1. 행위 분석 1.1. 파일 실행 인자값 Royal 랜섬웨어는 “-path”, “-id” 및 “-ep” 인자를 사용한다. [표..

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5023765, KB5023764, KB5023756, KB5023752, KB5023769, KB5023759, KB5023755, KB5023754, KB5023697, KB5023713, KB5023702, KB5023696, KB5023706, KB5023698, KB5023705, KB5023786 참고자료 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-1017 https:/..

개요 Google 사는 Chrome에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Chrome v111.0.5563.64/.65및 이후 버전 참고자료 https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop.html https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=ko

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco BroadWorks CommPilot v23 2022.10_1.313, v24 2022.10_1.313, v25 2022.10_1.313 - Cisco Nexus Dashboard v2.3(1c) 및 이후 버전 - Cisco AsyncOS(EAS) v12.5.3-041, v13.0.5-007 ,v13.5.4-038, v14.2.1-020, v14.3.0-032 및 이후 버전 - Cisco AsyncOS(Secure Email, Web Manager)..

최근 중국에서 유포된 것으로 보이는 정보탈취 앱이 발견되었다. 이 악성 앱은 중국에서 제작 및 판매되는 한 프레임워크를 사용하여 제작되었으며, 앱의 언어 또한 중국어로 설정되어있다. 해당 악성코드는 쇼핑 앱으로 위장하였으며, 문자메시지를 탈취하고 원격지와 통신하여 추가적인 다운로드 동작을 수행한다. 해당 앱은 아래의 그림과 같이 웹사이트를 통해 유포되었으며, 설치 버튼을 누르면 애플리케이션이 다운로드 된다. 문자메시지 수신 동작이 확인되면, 문자메시지 내용과, 수신지, 날짜, 앱의 버전, 안드로이드 id 등의 정보를 탈취하여 원격지로 전송한다. 그리고 원격지와 연결하여 애플리케이션을 설치한다. 해당 앱은 외부저장소의 ‘/dcloud_ad/apk/[시스템 시간].apk’ 경로에 저장된다. 현 분석 시점에는..

최근, Tor 브라우저로 위장해 암호화폐 지갑을 노리는 클리퍼 악성코드가 발견됐다. 보안 업체 Kaspersky에 따르면, 공격자가 Tor 브라우저의 설치 프로그램으로 위장한 악성 프로그램을 배포해 사용자의 설치를 유도한 것으로 알려졌다. 이 프로그램을 실행하면, 정상 Tor 프로그램을 다운로드 및 설치하고 악성코드가 포함된 RAR 파일을 압축 해제 후 실행한다. 해당 악성코드는 클리퍼로, 사용자의 클립보드 데이터에서 암호화폐 주소를 스캔하고 공격자가 선택한 임의의 주소로 클립보드 데이터를 교체한다. 사진출처 : Kaspersky 출처 [1] Kaspersky (2023.03.28) - Copy-paste heist or clipboard-injector attacks on cryptousers http..

개요 최근, Microsoft 사는 Windows용 Outlook 제품에서 발생하는 권한 상승 취약점(CVE-2023-23397)에 대한 패치를 공개했다. 해당 취약점은 Windows용 Outlook 제품의 작업 리마인더 기능에서 재생할 사운드 파일을 사용자 임의로 지정할 수 있어 발생한다. 공격자는 이 취약점을 악용한 메일을 전송해 대상 장치에서 원격 SMB (TCP 445) 서버와 연결을 시도하고, 사용자의 Net-NTLMv2 해시를 탈취할 수 있다. 이후, Outlook 사서함의 권한을 변경해 해당 계정의 이메일을 유출할 수 있으므로, 신속한 보안 조치 적용을 권고한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 최신 버전으로 업데이트를 적용하거나, 다음의 완화 조치를 따른다. - N..

개요 최근, 드림시큐리티 사가 자사의 공동 인증 전자서명 프로그램인 MagicLine 4.0 제품에서 발생하는 버퍼 오버플로우 취약점에 대한 업데이트를 공개했다. 기술 해결방안 제조사 및 이용 중인 금융 기관 홈페이지를 참고하여 취약점이 해결된 아래 최신 버전의 프로그램으로 재설치한다. - MagicLine 4.0 v1.0.0.27 및 이후 버전 참고자료 https://knvd.krcert.or.kr/detailSecNo.do?IDX=5887

개요 최근, 예티소프트 사가 자사의 전자서명 프로그램인 VestCert 제품에서 발생하는 원격 코드 실행 취약점에 대한 업데이트를 공개했다. 기술 해결방안 제조사 및 이용 중인 금융 기관 홈페이지를 참고하여 취약점이 해결된 최신 버전의 프로그램으로 재설치한다. - 취약한 버전 제거 1. 작업 관리자의 프로세스 탭에서 Goji → VestCert 순서대로 종료한다. 2. 제어판의 프로그램 및 기능에서 VestCert 버전을 확인 후 제거한다. - 최신 버전 설치 VestCert v2.5.30 및 이후 버전으로 설치한다. 이와 관련한 더 자세한 정보 및 해결 방안은 업체의 공식 문서를 참고할 것을 권고한다. 참고자료 https://www.yettiesoft.com/html/support/0502_faq.ht..

개요 Apple 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - macOS GarageBand v10.4.8 및 이후 버전 참고자료 https://support.apple.com/en-us/HT213650