잉카인터넷 시큐리티대응센터 블로그

최근 안드로이드 단말기 사용자를 대상으로 은행을 사칭한 악성 앱의 공격이 급증하고 있다. 이는 코로나 19로 인해 대출 상품의 이용이 증가하고 있는 사회적 이슈를 악용한 공격으로, 올해 중순부터 지속적으로 발견되고 있다. 이러한 공격은 지난 8월 초, 국내의 한 금융 회사로 위장한 모습으로 처음 발견되었다. 해당 악성 앱은 정상 앱과 매우 유사한 모습을 하고 있으나, 과도한 권한을 요구하고 사용자의 각종 정보를 탈취하는 등의 악성 동작을 수행한다. 이에 관한 자세한 정보는 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/4323 최근 발견된 악성 앱들은 아래의 [그림1]과 같이 국내에 있는 각종 은행을 사칭하고 있다. 해당 악성 앱들의 메인 화면은 매우 유사한 모습을..

잉카인터넷 대응팀은 2021년 9월 24일부터 2021년 9월 30일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "HotCoffee" 1건, 변종 랜섬웨어는 "Stop" 외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점이 발견됐으며 "RansomEXX" 그룹의 Linux 랜섬웨어에서 오점을 발견했다. 2021년 9월 24일 Jigsaw 랜섬웨어 파일명에 ".fun" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Jigsaw" 랜섬웨어의 변종이 발견됐다. BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점 발견 2021년 7월에 처음 등장한 "BlackMatter" 랜섬웨어..

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다. 해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다. 아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다. 2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow 'SparrowDoor' 악성코드는 보안 프로그램으로..

최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다. 해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다. Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot 은 Telegram 에서 최근에 새로 추가..

잉카인터넷 대응팀은 2021년 9월 17일부터 2021년 9월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Kcry"외 3건, 변종 랜섬웨어는 "LockBit" 1건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 미국 재무부가 랜섬웨어 조직과 관련된 암호화폐 거래소 Suex를 제재했고, CISA 등의 정보기관이 "Conti" 랜섬웨어 공격이 증가하고 있다고 경고한 이슈가 있었다. 2021년 9월 18일 Kcry 랜섬웨어 파일명에 “.kcry” 확장자를 추가하고 “kcry-info.txt”라는 랜섬노트를 생성하는 “Kcry” 랜섬웨어가 발견됐다. 2021년 9월 20일 Redeemer 랜섬웨어 파일명에 “.redeem” 확장자를 추가하고 “Read Me.txt”라는 랜..

잉카인터넷 대응팀은 2021년 9월 10일부터 2021년 9월 16일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "FireCrypt"외 2건, 변종 랜섬웨어는 "BlackMatter"외 5건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 7월경 사이트를 폐쇄하고 자취를 감췄던 "REvil" 랜섬웨어 그룹이 다시 데이터 유출 사이트를 운영하기 시작한 이슈가 있었다. 2021년 9월 10일 BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].README.txt"라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어의 변종이 발견됐다. Chaos 랜섬웨어 파일명에 ".CRYPTEDPAY" 확장자를 추가하고 "README.txt"라는..

최근 안드로이드 단말기를 대상으로 하는 새로운 악성코드가 등장하였다. 해당 악성코드는 "SOVA"라는 이름으로 불리며 사용자 단말기에서 SMS 문자메시지를 비롯한 각종 개인 정보를 탈취한다. 아직 테스트 단계로 알려졌으나, 정보 탈취 뿐 만 아니라 Bot의 동작을 수행할 수 있는 것으로 밝혀졌다. Sova 악성코드를 실행하면 다음의 이미지와 같이 접근성 권한을 획득한다. Event Listener를 통해 Clipboard에 저장되는 데이터를 획득한다. 그리고 Webview를 통해 연결되는 URL의 Cookie 정보를 탈취한다. 해당 악성 동작은 사용자의 로그인 정보 및 각종 개인 정보 탈취로 이어질 수 있다. 그 외에도 알림창에서 나타나는 Title과 Text 정보를 획득하고, SMS 문자메시지 수신 활..

지난 6월경, 멕시코 금융 기관 사용자를 대상으로 정보를 탈취하는 캠페인이 발견됐다. 해당 캠페인에서 사용한 악성코드는 "Neurevt"로 다크웹 포럼에서 평균 $300에 판매되는 것으로 알려졌으며, 감염된 PC의 사용자 개인 및 금융 정보 등을 탈취하는 것이 주 목적이다. 공격자의 C&C 서버에서 다운로드한 “Neurevt” 악성코드를 실행하면 [그림 1]과 같이 압축 파일 등 4개의 파일을 지정된 경로에 드롭한다. 그다음 드롭한 파일 중 RAR 파일의 압축을 해제하고, 공격자의 C&C 서버와 통신을 위한 파일을 실행해 정보 탈취 및 추가 악성코드 다운로드를 시도한다. 드롭 파일 “Neurevt” 악성코드는 ‘C:\LMPupdate\Set\” 경로에 [표 1]의 목록에 해당하는 파일을 드롭 및 실행한다..

잉카인터넷 대응팀은 2021년 9월 3일부터 2021년 9월 9일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Leaks"외 3건, 변종 랜섬웨어는 "WannaCrypt" 1건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 “Conti” 랜섬웨어 조직의 플레이북 번역본이 공개됐고, 이들 조직이 ProxyShell 취약점을 사용해 Microsoft Exchange 서버를 침해한 정황이 발견됐다. 또한, “Babuk” 랜섬웨어의 소스 코드가 러시아어를 사용하는 다크웹 포럼에 공개된 이슈가 있었다. 2021년 9월 3일 Conti 랜섬웨어 플레이북 번역본 공개 최근 “Conti” 계열사가 유출한 플레이북 번역본이 외부에 공개됐다. 해당 번역본을 공개한 시스코 탈로스(Cisco T..

잉카인터넷 대응팀은 2021년 8월 27일부터 2021년 9월 2일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "LCRY"외 3건, 변종 랜섬웨어는 "BlackMatter"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Ragnarok" 랜섬웨어가 최근 운영을 종료하겠다는 의사를 밝혔으며 "MBC" 랜섬웨어 그룹이 새로운 데이터 유출 사이트를 게시해 이란 철도 시스템에서 탈취한 데이터를 추후에 공개하겠다고 밝혔다. 2021년 8월 27일 LCRY 랜섬웨어 파일명에 ".LCRY" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "LCRY" 랜섬웨어가 발견됐다. BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].READ..