잉카인터넷 시큐리티대응센터 블로그

1분기 국가별 해커그룹 동향 보고서 러시아 러시아의 해커그룹들은 20년 이상 활동한 것으로 전해지며, 여러 정부기관의 지원을 받아 활동한다. 최근 발생한 러시아-우크라이나 전쟁이 사이버 전쟁으로 확대되어, 이번 1분기에는 우크라이나를 표적으로 한 다양한 공격이 발견되었다. 작년 4분기에도 활발하게 활동한 Gamaredon 해커그룹의 공격이 현재까지 이어져, 우크라이나 정부기관의 웹사이트 등을 공격하였다. 이에 대응하기 위해 우크라이나 정부를 포함한 여러 국가 및 기업에서 노력 중인 것으로 알려진다. Gamaredon 러시아 정부를 배후로 두고 있는 Gamaredon 그룹은 ‘Primitive Bear’ 또는 ‘Actinium’ 이라고도 불리는 해커 그룹으로, 2013년부터 활동한 것으로 알려진다. 해당 ..

1. 랜섬웨어 피해 사례 2022년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “랩서스(Lapsus$)” 및 “블랙바이트(BlackByte)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 대만의 전자 제품 공급 업체 Delta Electronics가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 미식 축구팀 49ers와 미국 IT 업체 Okta가 각각 “블랙바이트(BlackByte)”와 “랩서스(Lapsus$)” 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는..

4분기 국가별 해커그룹 동향 보고서 러시아 러시아의 해커그룹들은 정부기관의 지원을 받아 활동하여, 오랜 시간 동안 지속적으로 모습을 드러내었다. 그 중 CozyBear 의 경우, 러시아 SVR 을 배후로 두고 있으며, 미국과 프랑스를 비롯하여 여러 국가를 대상으로 공격을 수행하였다. 이로 인해 프랑스 정보국에서는 해당 해커그룹 관련 자료를 발표하는 등의 조치를 취하고 있다. 그 외에도 피싱 메일을 유포하여 공격을 수행하는 Gamaredon 해커그룹은 최근 새롭게 RTF Template Injection 기술을 활용하여 공격을 수행하였다. CozyBear (APT29) CozyBear 그룹은 러시아 대외정보국(SVR)을 배후로 두고 있으며, Nobelium 또는 APT29 라는 이름으로도 불린다. 해당 해..

1. 랜섬웨어 피해 사례 2021년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "아보스락커(AvosLocker)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 대만의 유명 하드웨어 제조 업체 Gigabyte가 "콘티(Conti)" 랜섬웨어 공격을 받았고, 11월과 12월에는 글로벌 소매 업체 MediaMarkt와 미국 제조 업체 McMenamins가 각각 "아보스락커(AvosLocker)"와 "콘티(Conti)" 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다..

국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 정부의 지원을 받아, 긴 시간 동안 여러 국가 및 기관을 대상으로 공격을 수행해왔다. 오랜 활동으로 Cobalt Strike와 같이 알려진 악성 코드도 존재하지만, 지속적으로 감염 방식에 변화를 주며 공격을 시도하고 있다. 최근 캠페인에서는 제로데이 취약점을 사용하여 공격을 시도하기도 하였으며, 새로운 악성코드가 발견되기도 하였다. Turla Turla 그룹은 러시아 정부를 배후로 둔 해커그룹으로, 2004년부터 활동한 것으로 추정된다. 해당 그룹은 각국의 군사 및 교육, 연구기관 등 여러 산업 분야를 대상으로 APT 공격을 수행한다. 9월 중순에는 이 그룹의 것으로 추정되는 새로운 악성코드가 발견되었다. 이 악성코드는 미국과 독일, 아프가니스탄 정..

1. 랜섬웨어 피해 사례 2021년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "소디노키비(Sodinokibi)", "락빗(LockBit)", "랜섬EXX(RansomEXX)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 7월에는 독일 화학 유통 업체 Brenntag이 "다크사이드(DarkSide)" 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 통신 업체 SAC Wireless와 일본 광학 및 복사 제품 업체 Olympus가 각각 "콘티(Conti)"와 "블랙매터(BlackMatter)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 3분기에 미국의 IT 관리용 솔루..

국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 작년에 이어 올해까지 지속적으로 공격을 수행하고 있다. 그 중, 이번 2분기에는 CozyBear와 FancyBear가 눈에 띄는 APT 공격을 수행하였다. CozyBear 해커그룹은 미국의 정부기관을 대상으로 마케팅 계정의 권한을 사칭하여 다량의 피싱 메일을 유포하였다. 그리고 FancyBear 해커그룹은 이전에 자주 사용하던 Zebrocy를 대체하여 새로운 악성코드를 가지고 공격을 시도하였다. CozyBear (APT29) CozyBear는 러시아 대외정보국 (SVR)을 배후로 두고 2008년부터 활동한 것으로 알려졌으며, Nobelium 또는 APT29 등으로 불린다. 해당 해커그룹은 전세계의 연구기관, 싱크 탱크, 비정부 기관 및 정부 기관 등..

1. 랜섬웨어 피해 사례 2021년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "도플페이머(DoppelPaymer)", "소디노키비(Sodinokibi)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 영국 철도 네트워크 기업 Merseyrail이 "락빗(LockBit)" 랜섬웨어 공격을 받았고, 5월과 6월에는 캐나다 운송 업체 Canada Post와 대만 메모리 및 스토리지 제조업체 ADATA가 각각 "로렌즈(Lorenz)"와 "라그나락커(RagnarLocker)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 1분기에 이어 2분기에도..

국가를 배후로 둔 해커 그룹들은 전세계의 개인 사용자를 비롯하여 기업이나 정부기관에 이르기까지 다양한 타겟을 대상으로 한다. 그들의 공격은 사회공학적 기법을 악용하는 일반적인 피싱 메일 공격 외에도 정상 프로그램을 위장하거나, 취약점을 활용하는 등 다양한 형태로 이루어 지고 있다. 2021년 1분기에는 어떤 해킹 공격들이 있었는지 알아보자. 러시아 이번 1분기에는 러시아 정부의 지원을 받는 것으로 알려진 해커그룹 중, Turla 해커 그룹과 Sandworm 해커 그룹의 공격이 활발했던 것으로 나타났다. Turla 해커그룹은 1월에 지난 SolarWinds 사태의 배후로 지목되었으며 3월에는 닷넷 프레임 워크를 대상으로 하는 오픈소스 Python을 이용한 변종 악성코드를 선보였다. 2월에는 Sandworm..

1. 랜섬웨어 피해 사례 2021년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “다크사이드(DarkSide)”, “도플페이머(DoppelPaymer)”, “소디노키비(Sodinokibi)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 윈도우 유틸리티 개발 기업 Iobit이 “데로HE(DeroHE)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 자동 자금 이체 서비스(AFTS)와 폴란드 게임 개발 기업 CD Projekt가 각각 “쿠바(Cuba)”와 “헬로키티(HelloKitty)” 랜섬웨어 공격을 받아 피해가 발생했다. 다크사이드(DarkSide) 랜섬웨어 피해 사례 최근 다크사이드 랜섬웨어 운영진이 새로운 변종을 공개했다. 해당 랜섬웨어 운영진에 따..