잉카인터넷 시큐리티대응센터 블로그

최근 안드로이드 단말기를 대상으로 하는 새로운 악성코드가 등장하였다. 해당 악성코드는 "SOVA"라는 이름으로 불리며 사용자 단말기에서 SMS 문자메시지를 비롯한 각종 개인 정보를 탈취한다. 아직 테스트 단계로 알려졌으나, 정보 탈취 뿐 만 아니라 Bot의 동작을 수행할 수 있는 것으로 밝혀졌다. Sova 악성코드를 실행하면 다음의 이미지와 같이 접근성 권한을 획득한다. Event Listener를 통해 Clipboard에 저장되는 데이터를 획득한다. 그리고 Webview를 통해 연결되는 URL의 Cookie 정보를 탈취한다. 해당 악성 동작은 사용자의 로그인 정보 및 각종 개인 정보 탈취로 이어질 수 있다. 그 외에도 알림창에서 나타나는 Title과 Text 정보를 획득하고, SMS 문자메시지 수신 활..

지난 6월경, 멕시코 금융 기관 사용자를 대상으로 정보를 탈취하는 캠페인이 발견됐다. 해당 캠페인에서 사용한 악성코드는 "Neurevt"로 다크웹 포럼에서 평균 $300에 판매되는 것으로 알려졌으며, 감염된 PC의 사용자 개인 및 금융 정보 등을 탈취하는 것이 주 목적이다. 공격자의 C&C 서버에서 다운로드한 “Neurevt” 악성코드를 실행하면 [그림 1]과 같이 압축 파일 등 4개의 파일을 지정된 경로에 드롭한다. 그다음 드롭한 파일 중 RAR 파일의 압축을 해제하고, 공격자의 C&C 서버와 통신을 위한 파일을 실행해 정보 탈취 및 추가 악성코드 다운로드를 시도한다. 드롭 파일 “Neurevt” 악성코드는 ‘C:\LMPupdate\Set\” 경로에 [표 1]의 목록에 해당하는 파일을 드롭 및 실행한다..

잉카인터넷 대응팀은 2021년 9월 3일부터 2021년 9월 9일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Leaks"외 3건, 변종 랜섬웨어는 "WannaCrypt" 1건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 “Conti” 랜섬웨어 조직의 플레이북 번역본이 공개됐고, 이들 조직이 ProxyShell 취약점을 사용해 Microsoft Exchange 서버를 침해한 정황이 발견됐다. 또한, “Babuk” 랜섬웨어의 소스 코드가 러시아어를 사용하는 다크웹 포럼에 공개된 이슈가 있었다. 2021년 9월 3일 Conti 랜섬웨어 플레이북 번역본 공개 최근 “Conti” 계열사가 유출한 플레이북 번역본이 외부에 공개됐다. 해당 번역본을 공개한 시스코 탈로스(Cisco T..

잉카인터넷 대응팀은 2021년 8월 27일부터 2021년 9월 2일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "LCRY"외 3건, 변종 랜섬웨어는 "BlackMatter"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Ragnarok" 랜섬웨어가 최근 운영을 종료하겠다는 의사를 밝혔으며 "MBC" 랜섬웨어 그룹이 새로운 데이터 유출 사이트를 게시해 이란 철도 시스템에서 탈취한 데이터를 추후에 공개하겠다고 밝혔다. 2021년 8월 27일 LCRY 랜섬웨어 파일명에 ".LCRY" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "LCRY" 랜섬웨어가 발견됐다. BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].READ..

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 ..

과거, 해외 직구 이용 방법을 모르거나 어려워 많은 사용자들이 이용하지 못하였지만, 현재는 많은 온라인 사이트와 앱들이 쉽고 간편하게 주문을 할 수 있도록 제공하고 있어 사용자가 늘어나고 있다. 이와 같은 점을 노리고 해외 직구 쇼핑몰 앱으로 위장한 악성 앱이 발견되어 사용자들의 주의가 요구된다. 최근, 트윗을 통해 발견 된 악성 앱은 크로켓 이라는 앱을 만든 회사인 "YOLO Corp" 회사에서 만든 것처럼 위장한다. 해당 앱을 설치하고 실행하면, 다른 정상 쇼핑몰 앱과는 다르게 과도한 권한을 요구한다. "LT MALL" 악성 앱은 사용자 환경의 정보들을 원활하게 탈취하기 위해 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. "Firebase 클라우드 메시징(FCM)" 은 메..

최근 국내외에서 암호화폐에 대한 관심이 높아지면서 이를 악용하여 암호화폐 채굴 앱을 위장한 악성 앱이 등장하였다. 해당 앱은 Google Play에서 판매되었으며, 10,000건이 넘는 다운로드를 기록한 것으로 알려졌다. 또한, 9개 이상 유사한 형태의 악성 앱이 유포된 것으로 밝혀졌다. 유포된 앱들은 암호화폐 채굴의 동작은 하지 못하지만, 사용자를 속여 구독 및 구매를 유도하거나 광고를 띄우는 등의 금전적 이익을 취하는 악성 동작을 수행한다. 아래의 그림과 같이 Google Play에서 판매되었으나, 현재는 삭제되었다. 해당 앱은 우측 빨간 상자에서처럼 정상적인 사이트에서 값을 받아오는 등 정상 암호화폐 채굴 앱인 척하지만, 실제 암호화폐 채굴 동작은 하지 못한다. 그리고 아래의 그림과 같이 사용자에게..

잉카인터넷 대응팀은 2021년 8월 20일부터 2021년 8월 26일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Eqautor"외 4건, 변종 랜섬웨어는 "Stop" 1건이 발견됐다. 2021년 8월 21일 Eqautor 랜섬웨어 파일명을 변경하지 않고 [그림 1]의 랜섬노트를 생성하는 "Eqautor" 랜섬웨어가 발견됐다. 2021년 8월 22일 Razor 랜섬웨어 파일명에 “.[랜덤 문자열]” 확장자를 추가하고 “READ TO UN-HACk”이라는 랜섬노트를 생성하는 “Razor” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경한다. DemonWare 랜섬웨어 파일명에 “.Demon” 확장자를 추가하고 “README.txt”라는 랜섬노트를 생성하는 “D..

지난 2021년 3월부터 구글 플레이를 포함한 서드 파티 앱 스토어에 업로드되어 만 명 이상의 피해자를 발생시킨 새로운 안드로이드 악성 앱이 발견되었다. 이를 처음으로 발표한 해외 정보 보안 회사 Zimperium 으로부터 FlyTrap 으로 명명된 이 악성 앱은 기존의 정보 탈취형 앱과는 다르게 Facebook 과 관련된 개인정보만을 노린다. FlyTrap 은 무료 쿠폰 제공, 설문 조사 투표 앱, 등으로 위장한 후, 앱 기능을 이용하기 위해 사용자에게 Facebook 계정으로 접속할 것을 요구한다. 아래 앱은 평소에는 무료 Netflix 쿠폰을 제공하는 앱으로 위장하지만, C&C 서버로부터 명령을 받으면 Facebook 계정 접속 버튼이 활성화된다. 활성화된 버튼을 클릭하면 정상적인 Facebook ..

최근 이스라엘 업체를 대상으로 진행된 APT 공격이 발견됐다. 이번 공격에는 "Shark"라고 불리는 백도어 악성코드가 사용됐으며, 5월에 발견된 "Milan" 악성코드의 변종으로 알려졌다. 이번 캠페인을 진행한 APT 그룹은 특정 업체의 인사담당자를 사칭한 가짜 링크드인(LinkedIn) 프로필을 생성해 해당 프로필을 열람한 사용자들이 악의적으로 조작된 웹사이트로 접속하도록 유도했다. 이들이 위장한 사이트는 독일 소프트웨어 업체인 Software AG와 이스라엘 IT 업체 ChipPC로 사용자가 사이트에 접속해 다운로드 버튼을 클릭할 경우 악성 문서를 다운로드한다. 사진 출처 : clearskysec 다운로드 받은 악성 문서를 실행하면 [그림 1]과 같이 문서 내용이 나타나며, 지정된 경로에 “Mila..