잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 ▶항공우주 분야 연구원, ▲비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 HWP 취약점 문서를 포함한 다수의 표적공격 정황을 포착했고 일부를 공개하면 다음과 같다. [HWP 악성파일 바이러스 토탈 진단현황] https://www.virustotal.com/ko/file/82e7e428a30a3c326731f3a8caf8e6ef814ccef6983b5bf26676280c4a10b1c1/analysis/1387256938/ https://www.virustotal.com/ko/file/2fcd75b636da833e7d408801592f20bfb9443f468252f2d7ab255357ad54760e/analysis/1387256958/ 1. 항공우주 분야의 연구 기밀을 노린 ..

1. VOD 영화관의 무료영화감상 내용으로 둔갑한 문자사기 잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱(Smishing)을 발견했다. 물론 스미싱용 문자메시지(SMS)가 갈수록 다변화되고 있기 때문에 이용자들은 URL 이나 IP주소 등의 인터넷 주소가 포함된 경우 가급적 접근을 자제하고 의심해 보는 노력이 필요하다. 이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹 사이트의 화면을 무단도용하였다. 문자메시지(SMS) 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시켰다. 그런 다음에 문자메시지에 포함된 인터넷주소(URL)를 클릭하도록 유도한 후..

1. 비트코인 국내 사용처 1호점 등장과 함께 시작된 악성파일 잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 ☞ http://erteam.nprotect.com/450 [주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장 ☞ http://erteam.nprotect.com/438 [긴급]6.25 사이버전, 신문사, ..

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입 ☞ http://erteam.nprotect.com/449 [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://erteam.nprotect.com/448 [정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황 ☞ http://erteam.nprotect.com/445 [주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장 ☞ http://erteam.nprotect.com/442 [주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경 ☞ http://erteam.nprotect.com/431 [긴급]카카오톡 위장 악성앱 신종공격 기법 등장 ☞ http://erteam.nprotect.com/428 [주의]스..

1. MS Office Word 문서파일을 이용한 악성파일 발견 잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다. 각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절..

1. MS Office DOCX 문서파일 Zero-Day 공격 등장 잉카인터넷 대응팀은 2013년 11월 06일 기준으로 MS 오피스 Zero-Day 보안취약점을 이용하는 악성 Word 파일을 다수 발견하였고, 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착한 상태이다. 해당 이슈는 대응팀에서 2013년 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대(PST:Pakistan Standard Time)를 이용하고 있다. 악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.do..

1. 확장자 조작한 지능형 표적공격 주의 잉카인터넷 대응팀은 Unicode Character Right to Left Override (U+202E) 기법을 이용한 표적공격 정황을 포착했다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다. [참고자료] Unicode를 이용한 윈도우 확장자 변조 가능 취약점 이용한 악성코드 주의 http://viruslab.tistory.com/1986 Right-to-Left Override Aid..

1. 특명! 국내 주요 사이트 관리자 계정을 보호하라. 잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다. 악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사..

1. 스미싱 문자 APK 링크에서 HTML 사이트도 추가 잉카인터넷 대응팀은 2013년 10월 18일 새로운 형태로 진화한 스미싱 문자 메시지 형태를 발견했다. 휴대폰 소액결제사기, 가짜 모바일 스마트 뱅킹앱 설치, 개인정보 탈취 형태의 안드로이드 기반 악성앱들은 대체로 APK 앱 파일이 문자메시지(SMS)에 링크되어 있는 것이 일반적인 스미싱 기법이었다. 간혹 조작된 특정 웹 사이트로 연결하여 악성앱을 추가로 다운로드하는 경우가 있었으나 그런 경우도 기존처럼 단순 도메인 주소를 이용했었다. 그러나 이번에 발견된 방식은 HTML 웹 페이지 주소를 그대로 포함하고 있어 이용자들로 하여금 정상적인 문자로 오인하도록 조작하였다. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://ertea..

1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입 잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다. 이 암호화 방식의 기법은..