잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top10 2023년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan(트로이 목마) 유형이며 총 159건이 탐지되었다. 악성코드 진단 수 전월 비교 5월에는 악성코드 유형별로 4월과 비교하였을 때 Banker와 Worm의 진단 수가 증가했고, Trojan, Backdoor 및 Ransom의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 5월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 셋째 주를 기점으로 감소에서 증가로 바뀌는 추이를 보였다. 2. 악성..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다. 2023년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “BlackCat” 랜섬웨어가 41건으로 가장 많은 데이터 유출이 있었고, “Snatch” 랜섬웨어가 10건으로 두번째로 많이 발생했다. 2023년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 39%로 가장 높은 비중을 차지했고, 캐나다가 9%, 인도와 프랑스가 6%로 그 뒤를 따랐다. 2023년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가..

QakBot 이라고도 알려진 Qbot 은 이메일과 같은 전통적인 전파 수단뿐만 아니라, OneNote, CHM 과 같이 최신 유행하는 전파 수단을 적극적으로 활용하는 모습을 보여왔다. 최근에는 한발 더 나아가 DLL 하이재킹 기술을 통해 정상 실행 파일에 악성 DLL 을 로딩하는 공격 방식이 사용되고 있다. DLL 하이재킹 공격은 Windows OS 의 DLL 로딩 우선 순위를 이용하여, 정상 DLL 대신 동일한 이름의 악성 DLL 을 로딩하는 공격법이다. 최근 발견된 Qbot 은 정상 Wordpad 실행 파일과 악성 DLL 파일 edputil.dll 을 ZIP 으로 압축하여 유포되고 있다. 원래대로라면 Wordpad 는 시스템 폴더 내의 정상 edputil.dll 파일을 로딩해야 하나, DLL 로딩 순..

최근 GitHub에서 새로운 안드로이드 정보탈취 앱이 발견되었다. 해당 앱은 ‘DogeRat’이라는 이름으로 불리며, SMS 메시지 및 통화기록 등의 정보 탈취 동작을 수행한다. DogeRat은 교육 및 내부용으로 제작되었으며, 개발자가 제공하는 여러 가지 서비스를 활용하여 커스터마이징할 수 있다. DogeRat은 몇 번의 업데이트가 있었던 것으로 보여지며, 가장 최신 버전의 경우 ‘YOUTUBE PREMIUM’의 이름으로 제작 및 배포되었다. 실행화면의 우측 하단 ‘Next’ 버튼을 누르면 각종 권한을 요구한다. 그리고 알림창 접근성 권한까지 획득하고 나면 Youtube 창을 띄워 정상 앱인 척 사용자를 속인다. 단말기의 제조사 및 모델 정보와 배터리 상태, SDK 버전 및 밝기 등의 정보를 획득하여 ..