잉카인터넷 시큐리티대응센터 블로그

3분기 국가별 해커그룹 동향 보고서  러시아2024년 3분기에는 러시아 출신 해커그룹으로 알려진 UAC-0198과 러시아 해외 정보국(SVR)과 관련 있는 것으로 추정되는 CozyBear 해커그룹의 공격 사례가 발견됐다. UAC-0198 해커그룹은 보안 서비스로 위장해 악성코드를 유포하는 피싱 캠페인 공격을 시행했으며, CozyBear 해커그룹은 스파이웨어 공급업체가 만든 iOS 및 Android 익스플로잇을 사용해 공격한 사실이 알려졌다.  UAC-0198러시아 출신의 해커그룹으로 알려진 UAC-0198이 보안 서비스로 위장한 악성코드를 유포하는 피싱 캠페인 공격을 시행했다. 우크라이나 컴퓨터 비상 대응팀(CERT-UA)에서 UAC-0198이 이메일에 악성 파일이 다운로드되는 링크를 첨부해 대량 배포했..

1. 랜섬웨어 피해 사례2024년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 락빗(LockBit)과 랜섬허브(RansomHub) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 국내 종합 식품 업체 대상의 미국 법인이 랜섬허브의 공격을 받았고, 8월과 9월에는 캐나다 토론토의 교육 위원회와 미국 시애틀의 항만청이 각각 락빗과 리시다(Rhysida) 랜섬웨어 공격을 받아 피해가 발생했다.   락빗(LockBit) 랜섬웨어 피해 사례락빗 랜섬웨어 조직은 2019년 말에 처음 등장해 전 세계를 대상으로 약 2,500개 이상의 기관을 공격한 것으로 추정되는 랜섬웨어 조직이다. 올해 1분기에 국제 법 집행 기관의 크로노스 작전(Operation Cronos)으로 인프..

2분기 국가별 해커 그룹 동향 보고서  러시아2024년 2분기에는 러시아 정부를 배후에 둔 것으로 추정되는 Sandworm과 Vermin 해커 그룹의 공격 정황이 발견됐다. Sandworm 해커 그룹은 이전에 문서화된 악성코드를 새로운 악성코드와 결합해 공격에 사용했으며, Vermin 해커 그룹은 피싱 이메일로 악성코드를 유포한 것이 알려졌다.  SandwormSandworm은 BlackEnergy, Seashell Blizzard, Voodoo Bear 및 APT44로도 알려졌으며, 러시아의 총참모부(GRU)와 연관된 것으로 전해졌다.  우크라이나 컴퓨터 비상 대응팀(CERT-UA)에서 SandWorm 해커 그룹이 우크라이나의 중요 인프라 시설 약 20곳에 침입한 내용의 보고서를 공개했다. 해당 공격에..

1. 랜섬웨어 피해 사례2024년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙바스타(BlackBasta)와 블랙수트(BlackSuit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월에는 영국의 법률 사무소 TRUE Solicitors LLP가 블랙바스타의 공격을 받았고, 5월과 6월에는 미국의 연료 유통 업체 Atlas Oil과 일본의 미디어 출판 업체 KADOKAWA가 각각 블랙바스타와 블랙수트 랜섬웨어 공격을 받아 피해가 발생했다.    블랙바스타(BlackBasta) 랜섬웨어 피해 사례2024년 2분기에는 블랙바스타 랜섬웨어 조직이 의료 분야를 공격하고 있다는 소식이 전해졌다. 외신은 최근에 해당 조직이 16개의 중요 인프라 부문 중 최소 12개 부문..

1분기 국가별 해커 그룹 동향 보고서 러시아 2024년 1분기 러시아의 해커 그룹인 ColdRiver와 CozyBear 그룹의 공격이 발견됐다. ColdRiver 해커 그룹은 PDF 암호 해독 도구로 가장한 페이로드를 사용해 알려지지 않은 백도어 악성코드를 배포했으며, CozyBear 해커 그룹은 독일 정당을 대상으로 피싱 메일을 사용해 공격하는 것이 확인됐다. ColdRiver 2015년도 후반부터 활동한 ColdRiver 해커 그룹은 러시아 정부 지원을 받고 있는 것으로 알려졌으며, Callisto Group, Seaborgium 및 Star Blizzard라고도 불린다. 최근에 해당 그룹은 전 세계 조직을 대상으로 계정 자격 증명과 데이터를 탈취하는 스피어 피싱 캠페인을 진행했다. 지난 2022년도..

1. 랜섬웨어 피해 사례2024년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 락빗(LockBit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 1월에는 미국의 샌드위치 전문 레스토랑 Subway가 락빗 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 금융 업체 LoanDepot과 벨기에의 맥주 제조 업체 Duvel Moortgat Brewery가 각각 블랙캣과 스토머스(Stormous) 랜섬웨어 공격을 받아 피해가 발생했다.  캑터스(Cactus) 랜섬웨어 피해 사례2024년 1분기에는 캑터스 랜섬웨어의 공격이 피해 업체의 운영에 영향을 미치는 피해 사례가 다수 발생했다. 캑터스 랜섬웨어는 2023년 3월부터 활발한 활동을 보..

4분기 국가별 해커 그룹 동향 보고서 러시아 2023년 4분기 러시아의 해커 그룹 Winter Vivern과 Gamaredon 그룹의 공격이 발견됐다. Winter Vivern 해커 그룹은 Roundcube 제로데이 취약점을 악용해 유럽 정부 기관과 싱크탱크를 대상으로 공격했고, Gamaredon 해커 그룹은 USB 드라이브로 악성코드를 확산하고 C&C 서버와 통신해 추가 악성 행위를 수행하는 것으로 확인됐다. Winter Vivern 2020년도부터 활동한 Winter Vivern 해커 그룹은 인도, 이탈리아 및 우크라이나 등을 포함해 전 세계 정부 기관을 표적으로 삼는 것이 확인된다. 해당 그룹에서 악성 문서, 피싱 웹사이트 및 백도어를 사용한 공격이 여러 차례 발견됐다. 지난 8월부터 9월 사이에 ..

1. 랜섬웨어 피해 사례 2023년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 락빗(LockBit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 독일의 숙박 업체가 블랙캣 랜섬웨어 공격을 받았고, 11월과 12월에는 캐나다 이주 서비스 제공 업체와 국내 골프 업체가 각각 락빗과 블랙수트(BlackSuit) 랜섬웨어 공격을 받아 피해가 발생했다. 블랙캣(BlackCat) 랜섬웨어 피해 사례 지난 12월, 미국의 법무부에서 블랙캣 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 또한 해당 수사 과정에서 FBI 측이 암호 해독 도구를 개발해 추가 피해를 막았다고 전했다. 현재, 블랙캣 측이 운영하던 데이터 ..

3분기 국가별 해커그룹 동향 보고서 러시아 2023년 3분기 러시아의 해커그룹 CozyBear와 Sandworm 그룹의 공격이 발견되었다. CozyBear 해커그룹은 MS Teams를 통한 사회공학 공격과 NATO 가입국을 대상으로 하는 피싱 공격을 수행하였고, Sandworm 해커그룹은 모바일 악성코드를 유포하는 캠페인을 수행하였다. 또한, 친러 성향의 NoName 해커그룹이 캐나다 공항을 대상으로 DDoS 공격을 수행하였다. CozyBear 러시아 연방 해외 정보국(SVR)을 배후로 둔 CozyBear 해커그룹은 APT29, The Dukes 등의 이름으로도 불린다. 2008년부터 활동한 것으로 전해지며 주로 미국과 유럽의 정부 기관 및 NATO 회원국을 대상으로 공격을 수행하였다. 최근에도 이들을 ..

1. 랜섬웨어 피해 사례 2023년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 클롭(Clop) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 미국과 영국의 컨설팅 업체가 클롭 랜섬웨어 공격을 받았고, 8월과 9월에는 일본의 제조 업체와 국내 에너지 대기업이 각각 블랙캣과 락빗(LockBit) 랜섬웨어 공격을 받아 피해가 발생했다. 클롭(Clop) 랜섬웨어 피해 사례 지난 8월, 클롭 측이 P2P 파일 공유 플랫폼인 토렌트로 피해 업체의 데이터를 공유하는 정황이 발견됐다. 외신은 이들 조직이 파일 공유가 용이하다는 토렌트의 장점을 활용했고 이로 인해 피해 업체가 데이터 유출로 받는 압박이 커질 우려가 있다고 전했다. 미국 교육 기관..