잉카인터넷 시큐리티대응센터 블로그

1. 개요 잉카인터넷 대응팀은 글로벌 지능형지속위협(APT) 보안관제를 진행 하던 중 중국 포털 사이트에서 제공하는 웹메일 계정을 이용해서 "주중 프랑스 대사관 공직자를 표적으로 한 악성파일 공격 정황을 포착"하였다. 공격자는 마이크로소프트사 오피스용 엑셀(Excel) 문서파일에 악성파일을 몰래 숨겨서 사용하였으며, 특징적으로 악성 엑셀문서를 정상적으로 열기 위해서는 고유암호를 입력해야만 한다. 암호를 완벽하게 입력해야만 악의적인 기능을 수행하기 때문에 암호를 모르는 사람은 해당 악성파일의 보안위협에 노출될 가능성은 없으며, 암호를 알지 못한 상태에서는 악성파일 코드분석에도 직접적인 방해요인으로 작용할 수 있다. 이처럼 표적형 공격에 사용되는 악의적 문서파일에 특정 암호가 설정되어 사용되는 경우가 종종 ..

1. 개요 잉카인터넷 대응팀은 국내에서 서비스 중인 웹하드 사이트들을 통해서 악의적인 등록자들이 웹 사이트 관리자와 이용자들 몰래 "성인 음란 동영상"으로 둔갑시킨 악성파일을 은밀히 유포하고 있는 정황을 포착하고, 꾸준히 모니터링과 대응상태를 유지하고 있다. 웹하드 서비스를 통해서 배포되는 파일의 경우 보통의 보안업체가 꾸준히 관제를 하기에는 쉽지 않은 영역이기 때문에 악성파일 유포자들은 이점을 노리고 있지만, 잉카인터넷 대응팀은 웹하드 서비스를 통해서 배포되는 악성파일을 [상시 모니터링 체계로 구축]하여 운영하고 있다. 아울러 유포자들도 이런 보안 감시망에 노출되지 않기 위해서 점차 지능화, 다양화 방식을 도입하여 사용자 몰래 악성파일을 설치 시도하는데 많은 노력을 기울이고 있는 상태이다. 이번에 새롭..

1. 개요 잉카인터넷 대응팀은 마릴린 먼로(Marilyn Monroe) 화면보호기로 교묘하게 위장되어 있는 악성파일을 발견하였다. 해당 악성파일은 미국 캘리포니아에 본사를 두고 있는 특정 "항공우주기업의 내부 직원을 겨냥"하고 있으며, 표적이 된 직원은 전문분야 30여년 이상의 경력을 가진 수석 공학 전문가로 확인되었다. 공격자는 마릴린 먼로와 관련된 제목과 내용 등을 포함한 이메일로 공격을 시도하였으며, 미공군 공식 이메일 계정(af.mil)과 미항공우주국(NASA) 내용 등을 직접적으로 언급하는 등 수신자로 하여금 최대한 신뢰하도록 조작하고 있다. 표적에 사용된 기업은 민간 비영리 법인으로 미국 공군에 대한 연방정부 재정지원 연구개발 센터 등도 운영하고 있으며, 미사일 시스템 센터와 같은 군수물자 단..

1. 개 요 잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다. 2. 유포 경로 및 감염 증상 해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일..

1. 개요 잉카인터넷 대응팀은 2012년 07월 18일 새벽 4시 경 국내 인터넷뱅킹 사용자들을 표적으로 제작된 악성파일 변종이 구글 코드(Google Code) 오픈 소스 프로젝트 호스팅 서버를 통해서 추가 유포 중인 것을 확인하였다. 공격자는 악성파일 등록 경유지 도메인을 보다 안전하고 평판 신뢰도를 높이기 위한 목적으로 구글 코드 서버를 사용한 것으로 추정된다. 악성파일은 지금으로부터 약 30시간 전인 2012년 07월 16일 23시 경에 서버에 등록되었으며, 별도의 유포지를 통해서 지금도 계속 배포가 되고 있을 것으로 보여진다. 이번 변종의 경우 호스트파일(hosts) 변조를 통해서 국내 금융권 사이트 접속시 파밍공격 시도를 하는 것 외에 치밀하게 잉카인터넷 nProtect Anti-Virus 제..

1. 국내 시중 인터넷 뱅킹용 악성파일 지능화 실제상황 잉카인터넷 대응팀은 국내 인터넷 뱅킹 사용자들을 표적으로 하는 새로운 변종 악성파일이 국내에서 서비스되고 있는 특정 웹하드 사이트의 수동설치파일을 변조하여 추가 유포 중인 정황을 포착하였고, 더불어 다양한 이상징후도 지속적으로 감지되고 있는 상황이다. 공식 확인된 바에 의하면 2012년 07월 16일 오전 09시 경 현재 새로운 변종이 추가로 포함된 채 유포가 진행중인 상태로 파악되었다. 공격자는 이미 다양한 방식으로 신규 악성파일을 불특정다수의 국내 이용자들에게 폭 넓게 전파시키기 위한 시도를 수행하고 있는 상태이고, 웹 해킹을 통한 정상프로그램 변조와 각종 보안취약점 등을 결합하는 등 공격수법이 점차 고도화되고 있다는 점에서 위험수위를 이미 한 ..

1. 개요잉카인터넷 대응팀은 2012년 04월 경 시간차를 이용한 스토킹 형태의 대만 APT 공격의 실체를 최초 공개한 바 있고, 관련된 정보를 지속적으로 추적 수집하고 있는 상황이다. 그런 가운데 최근 특정 항공사의 내용으로 교묘하게 조작하여 대만 행정조직을 표적으로 하는 새로운 APT 공격의 정황과 단서를 포착하였다. 특징적으로 공격자는 대만의 민간 항공사인 에바 항공(EVA AIR)과 또 다른 캐세이 패시픽 항공(Cathay Pacific AIR)사의 항공권 내용 등으로 위장하여 대만의 '행정원 농업위원회' 와 '행정원 위생서 국민건강국' 등의 내부 공직자를 표적삼아 연쇄적 공격을 시도했다. 공격에 사용된 악성파일은 항공권 영수증 내용처럼 파일명을 위장하고 있고, 아이콘을 폴더 모양으로 위장하여 사..

1. 개요 잉카인터넷 대응팀은 최근 애플(Apple)사의 Mac OS 와 마이크로소프트(Microsoft)사의 Windows OS 운영체제 사용자를 멀티로 겨냥한 지능형지속위협(APT) 공격 정황을 포착하였다. 그동안 보고되었던 표적공격의 경우 대부분 윈도우용 악성파일이 주를 이루었지만, 최근 맥용 악성파일이 APT 공격에 실제로 사용된 매우 이례적인 경우가 발견되었다. 이는 애플사의 맥북(에어/프로) 이용률이 증가하고 있다는 점과 감염 대상자가 맥 운영체제를 사용하고 있는 점을 공격자가 반영한 것으로 예측된다. 다시말해 표적형 공격자들도 맥사용자가 많아지고 있다는 점을 적극 고려하여 맥용 악성파일을 별도로 개발하고 있음을 증명하고 있다. 이처럼 새로운 맥용 악성파일이 은밀한 표적공격에 악용되고 있다는 ..

1. 개요 잉카인터넷 대응팀은 아직까지도 마이크로 소프트사(Microsoft)의 공식적인 보안패치(업데이트)가 제공중이지 않고 있는 이른바 Zero-Day Exploit 으로 악용 중인 CVE-2012-1889 취약점용 악성파일이 국내외로 유포 중인 것을 확인하였다. 마이크로 소프트에서는 XML 코어 서비스(Core Services)에 아직 알려지지 않은 Zero-Day 취약점이 발견되었음을 2012년 06월 12일에 보안 권고문 형태로 이미 공개한 상태이다. 해당 보안취약점은 공격자가 임의로 코드를 실행할 수 있는 코드 실행 취약점이며, XML 코어 서비스를 사용하고 있는 윈도우 운영체제와 오피스2003, 오피스2007 버전에서 악용될 수 있다. 마이크로 소프트사에서는 아직 공식 보안업데이트를 배포하지..

1. 개요 잉카인터넷 대응팀은 "비자(VISA) 신용카드와 관련된 내용으로 고객들을 현혹"시켜 악성파일에 감염되도록 유도하는 악의적 이메일이 해외에서 유포된 정황을 발견하였다. 이러한 이메일은 국제적으로 발송되는 것이 보편적이라는 점에서 국내 이용자들도 조심하는 것이 좋다. 대표적인 이메일 속임수 사기수법으로는 국제배송업체 운송장 내용이나 SNS 암호 변경 요청, 비행기 티켓 예매, 사진파일 첨부 등으로 위장한 사례가 많은 편이다. 금번 발견된 경우는 많은 이용자들이 사용하고 있는 신용카드와 관련된 민감한 부분을 사용하고 있다는 점에서 유사한 위협에 노출되어 예기치 못한 피해를 입지 않도록 각별한 관심과 주의가 요망된다. 또한, 이러한 악성 이메일은 불특정 다수에게 SPAM 메일처럼 다량으로 발송되는 경..