잉카인터넷 시큐리티대응센터 블로그

1. 개요 잉카인터넷 대응팀은 한국정보보호학회 학술 연구논문지 투고 규정 HWP 문서파일처럼 위장된 악성파일이 국내에 유포된 정황을 포착하였다. 한국정보보호학회는 정보보호를 위한 학술 및 관련분야의 발전에 공헌하기 위하여 1990년 12월에 창립되었으며, 현재 약 2,000 여명 이상의 회원과 80 여곳 이상의 회원사들이 활동하고 있다. 이번에 발견된 HWP 악성파일은 한국정보보호학회 학회 및 논문지 관련 메뉴에서 실제 배포 중인 파일이 악용되었다. 이것을 미루어보아 "정보보호 학술과 관련되어 있는 교수, 학생, 기업인들이 주요 표적이 되었을 것으로 예상"되고 있다. 최근들어 정보보호 업계에 근무하는 특정인에게 다수의 악성 이메일이 송신되고 있기도 하여, 전방위적인 표적공격이 감행되고 있다는 점을 간과해..

1. 개요 잉카인터넷 대응팀은 국내 특정 정부기관의 내부 공직자를 공격 표적으로 과감히 지목한 지능형지속위협(APT) 사례를 발견하였다. 지금까지 발견되었던 방식과는 다소 다른 방식을 이용하고 있어 각별한 주의가 필요할 것으로 보인다. 특히, 주요 국가기관의 이용자를 표적 대상으로 삼았다는 점에서 다른 형태의 APT 공격과는 구별되는 점이다. 잉카인터넷 대응팀은 해당 이슈를 발견하자마자 "한국인터넷진흥원(KISA)"과 "국가사이버안전센터(NCSC)", "기타 보안업체" 등 유관기관들에 신속하게 관련 정보를 공유한 상태이다. 또한, nProtect Anti-Virus 제품군에 진단/치료 기능을 긴급히 업데이트를 완료한 상태이고, 분석 담당부서에서 상세 정밀 분석을 진행 중에 있다. - 재외동포 주의 사항으..

1. 개요 잉카인터넷 대응팀은 세계적으로 유명한 비즈니스 중심의 소셜네트워크서비스(SNS)인 링크드인(LinkedIn)의 개인용 메시지(PM)로 위장한 악성 이메일이 국내에 다수 유입된 것을 발견한 상태이다. 링크드인은 구인 및 구직 SNS 기능과 더불어 전 세계 기업인들의 사업과 관련된 소통의 장으로 활용되고 있기도 하다. 특히, 전문 직업인의 인맥 서비스로서 200여개 이상의 국가에서 1억 명 이상이 사용하고 있는 것으로 알려져 있다. 링크드인 내용으로 사칭한 이메일은 이전에도 여러차례 발견된 바 있고, 비아그라 등 성인약품 광고 목적 등으로 유포된 사례도 다수 존재한다. 이번에 국내에 유입된 형태는 Adobe Reader(PDF), Java(JAR) 등 다양한 보안 취약점을 이용하여 추가적인 악성파..

1. 개요 잉카인터넷 대응팀은 다양한 지능형지속위협(APT)을 꾸준히 모니터링하고 있으며, 국내외 특정 대상을 표적으로 하는 실제 공격 사례를 끊임없이 발견하고 대응하고 있는 상태이다. 최근까지 잉카인터넷 대응팀 공식 블로그를 통해서 공개되었던 "다양한 방식의 표적형 공격 실체와 Anti-APT 솔루션들이 속속 개발"되면서 공격자들은 새로운 방식을 모색하고 있는 상태로 추정되고 있기도 하다. 따라서 기존에 알려져 있는 공격 수법만을 방어하는 시스템만으로는 100% 안전할 수 없다는 것을 보안 관리자는 반드시 유념해야 하며, 공격자는 방어자의 기술을 분석하여 역이용하고, 탐지를 우회하기 위한 다양한 노력과 실험을 하고 있다는 것을 절대로 잊어서는 안된다. 그렇기 때문에 언제든 방심은 금물이며, 지능화되고 ..

1. 개요 잉카인터넷 대응팀은 최신 Adobe Flash Player 취약점(CVE-2012-0779)을 이용하는 공격을 다수 발견한 상태이며, 특히 한글 MS DOC 문서를 사용한 정황도 포착한 상태이다. 외국뿐만 아니라 한국인을 표적으로 한 공격(APT)에도 사용되고 있는 것으로 추정되고 있는 만큼 인터넷 이용자들은 지금 즉시 Adobe Flash Player 프로그램을 최신 버전으로 업데이트를 설치하여 악의적인 보안위협에 노출되지 않도록 각별한 주의가 필요하다. 또한, 이메일로 수신되는 MS DOC 문서파일이 악성파일 설치에 자주 악용되고 있다는 점에서 발신지가 불분명하거나 자신과 관련되지 않은 내용으로 메일을 받게 될 경우 무분별하게 실행하지 않도록 한다. 2. CVE-2012-0779 악성파일 ..

1. 개요 잉카인터넷 대응팀은 2012년 05월 04일부터 사진파일을 첨부한 내용처럼 사칭하여 악성파일을 유포 중인 이메일이 국내에 유입되어 전파 중인 것으로 확인하였다. 해당 악성파일은 이미 지난 달에 외국에서 유사한 형태가 다수 발견된 바 있었는데, 최근에 국내에도 등장한 것으로 확인되었기 때문에 이용자들의 각별한 주의가 필요하다. 또한, 악성파일은 다양한 변종 형태가 발견되고 있어 nProtect Anti-Virus 탐지패턴에 지속적으로 치료 기능을 추가하고 있는 상태이다. 영문으로 작성된 이메일에 EXE(ZIP) 형태의 실행 파일이 (압축)첨부되어 있는 경우는 십중팔구 악성파일일 가능성이 있다는 점을 유념하는 것이 중요하겠다. 2. 악성파일 발견 사례 [Sophos] IMG0893.zip - Yo..

1. 개요 잉카인터넷 대응팀은 미국 거래개선협회(BBB:Better Business Bureau)에서 발송한 것으로 사칭한 후, 악성파일을 첨부하여 전파하는 수법의 이메일이 국내에 유입된 것을 발견하였다. BBB 내용처럼 조작된 이메일은 해외에서 다수 발견된 사례가 있었지만 국내에서 공식적으로 발견 보고된 것은 처음이다. BBB 는 미국 및 캐나다의 거래개선협회이며, 소비자 보호와 불만신고 개선 등의 사업을 진행하는 단체이다. 또한, 거래개선협회의 인가서는 기업으로서 신뢰도를 공인 받는 영예로운 것으로 알려져 있기도 하다. 인터넷 이용자들은 BBB 내용으로 구성된 이메일을 수신할 경우 악성파일이 첨부되어 있지는 않은지 꼼꼼히 살펴보고 접근하는 것이 안전하겠다. - 거래개선협회(BBB:Better Busi..

1. 개요 잉카인터넷 대응팀은 미국에 본사를 두고 있는 세계적 물류 운송업체인 UPS(United Parcel Service)에서 발송한 것처럼 위장된 이메일이 얼마 전 해외에서 전파된 것을 발견하였다. 이메일 형식은 유명 "물류 배송 내용처럼 가장하고 있지만 실제로는 악성파일을 첨부하여 배송"하고 있는 고전적인 악성파일 유포 수법 중에 하나이다. 특징적으로 이메일 본문에 UPS 공식문구와 내용 등을 적절히 배치 함으로써 사용자로 하여금 안전한 파일로 신뢰하도록 유혹하며, 첨부되어 있는 ZIP 압축파일에는 이례적으로 악성파일이 1개가 아닌 2개가 포함되어 있다. 인터넷 이용자들은 물류 배송내용으로 위장된 각종 악성 이메일이 지속적으로 유포되고 있다는 점을 잊지 말고 유사한 보안 위협에 노출되지 않도록 각..

1. 개요 잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 HWP 문서파일 취약점을 이용한 악성파일 변종들을 꾸준히 발견하고 있다. 이에 해당 소프트웨어 이용자들의 각별한 주의가 필요한 상태이다. 특히, 국내 유명 기업이나 정부기관, 정치권을 겨냥하는 지능형지속위협(APT:Advanced Persistent Threat)공격에 특화화된 HWP 문서 취약점용 악성파일이 은밀히 악용되고 있다는 점에서 세심한 주의와 입체적 보안강화가 요구된다. 보통 내부 네트워크로 구축되어 있는 기업이나 기관의 경우 국지적 위협에 단 한명의 부주의나 실수로 인하여 악의적 프로그램에 노출될 경우 공격자는 해당 감염 루트를 통해서 연쇄 공격을 감행하게 되고 이것이 전사적 보안 위협으로 번져나가는 것은 시간 문제일 가능성이 높다. 또한..

1. 개 요 최근 성인 동영상 파일로 위장한 악성파일이 웹 하드 사이트 등을 통해서 지속적으로 유포가 이루어지고 있다. 지난번에도 블로그를 통해 공개한 바 있듯이 유포처가 주로 국내 웹 하드 사이트이고, 해당 악성파일이 자극적인 내용의 파일명으로 위장되어 있어 일반 사용자들의 경우 인터넷을 통해 파일을 다운로드할때 각별한 주의가 필요한 상태이다. 특히, 이러한 성인 동영상 위장형 악성파일의 경우 파일 크기가 일반적인 동영상 파일 크기 수준이며, 확장명이 .exe 형태이나 실행 시 .avi 등의 동영상 파일을 재생하는 것이 특징이므로 이점 또한 참고할 수 있도록 하자. [주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다. ☞ http://erteam.nprotect.com/254 2. 유포 경로 및 감염..