잉카인터넷 시큐리티대응센터 블로그

지난 해, 7월 KISA 한국인터넷 진흥원에서는 "질병관리청COOV" 사칭문자에 관하여 사용자들의 주의가 필요하다는 안내글을 다룬적이 있다. 아래의 링크는 "질병관리청COOV" 에 관하여 다룬 KISA 한국인터넷 진흥원의 공지사항이다. ▶ 질병관리청 예방접종증명서 사칭 스미싱 주의 권고 이번에 발견 된 스미싱 문자는 "교통 민원24(이파인)" 을 사칭한 스미싱 문자로, 앞서 언급하였던 "질병관리청 예방 접종 증명서" 를 사칭한 스미싱 문자와 일부 내용을 제외하고는 기능상 동일한 악성 앱을 유포 하는 것 으로 확인 된다. 문자를 수신한 사용자가 해당 링크로 접속할 경우 "경찰청 교통민원24"로 위장한 피싱 사이트로 연결되며 휴대전화 번호, 이름 및 생년월일과 같은 개인정보 입력을 요구한다. 개인 정보 입력..

2019년에 처음 등장한 "SideCopy" 해킹 그룹은 주로 남아시아 국가, 특히 인도와 아프가니스탄을 대상으로 공격하는 것으로 알려졌다. 해당 악성코드는 주로 MS Publisher 또는 이미지 뷰어로 위장한 아카이브 파일로 유포되며 현재 진행중인 캠페인은 주로 정부나 군 관계자들을 목표로 하여 맞춤화된 문서나 이미지로 유포된다. "SideCopy" 해킹 그룹의 악성코드는 페이로드가 포함된 MS Publisher 문서와 같은 아카이브 파일로 유포된다. 해당 문서 파일은 목표 대상이 흥미를 끌 수 있는 내용의 문서로 작성돼 있으며 실행 시, 페이로드를 로드하는 파일인 "Crebiz.exe"과 감염된 PC의 정보를 탈취한 후 공격자의 서버로 전송시키는 파일인 "TextShaping.dll" 파일을 드랍한..

잉카인터넷 대응팀은 2022년 2월 4일부터 2022년 2월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Scorpio" 외 1건, 변종 랜섬웨어는 "Stop" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 보안 업체 Avast에서 "argetCompany" 랜섬웨어의 디크립터를 공개했으며, "NetWalker" 랜섬웨어 공격에 연루된 캐나다인이 징역을 선고받은 이슈가 있었다. 2022년 2월 7일 Stop 랜섬웨어 파일명에 ".cuag" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. 2022년 2월 8일 TargetCompany 랜섬웨어 디..

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다. 이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice는 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다. 최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다. 앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여..

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

잉카인터넷 대응팀은 2022년 1월 21일부터 2022년 1월 27일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Exploit" 1건, 변종 랜섬웨어는 "Phobos"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 FBI가 Diavol 랜섬웨어와 TrickBot의 관계를 발표한 이슈가 있었다. 2022년 1월 21일 Phobos 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].ELBOW" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Phobos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. Makop 랜섬웨어 파일명에 ".[공격자 메일].factfull" 확장자를 추가하고 "readme-warning.txt"라는 랜섬노트..

최근, 인도의 군사 및 외교 분야를 대상으로 공격하는 캠페인이 발견됐다. 해당 캠페인은 악성 문서를 첨부한 피싱 메일을 보내 메일 수신자의 실행을 유도한 후, 최종적으로 “Crimson RAT” 악성코드를 실행해 정보를 탈취하거나 PC를 조작한다. “Crimson RAT” 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다. 1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다. 2. 사용자가 메일에서 다운로드한 파일을 실행하면 문서 내부의 매크로가 동작해 지정된 경로에 Hbraeiwas.exe를 드롭 및 실행한다. 3. 이전 단계에서 실행한 파일은 압축 파일 형태의 리소스를 읽어 mdkhm.zip이란 이름으로 저장한다. 4. 이후, mdkhm.zip 파일의 압..

최근, 글로벌 물류 업체인 "DHL" 아이콘으로 위장한 "Aberebot" 악성 앱이 발견되었다. 해당 악성 앱은 실행 시 "DHL"앱인 것처럼 화면을 출력하지만 아무런 기능이 존재하지 않는다. 하지만, 백그라운드 동작 방식으로 사용자 단말기의 민감한 정보들을 수집하고 텔레그램을 이용하여 데이터를 전송하기 때문에 사용자들의 주의가 필요하다. 과거 자사 블로그에서는 "Aberebot" 에 대하여 다룬 적이 있다. 해당 내용은 아래에서 확인해 볼 수 있다. ▶ Aberebot 악성 앱 주의 과거 악성 앱과 비교하였을 때 이번에는 기존의 금융 앱들 뿐만 아니라, 사용자들이 자주 이용하는 SNS (Facebook, Instagram) 들이 오버레이 공격 목록에 추가되었다는 점과 알림 메시지의 내용을 수집하여 전..

2022년 1월경, 우크라이나의 정부 관련 조직 다수가 "WhisperGate" 공격으로 인해 운영이 중단됐다. 해당 공격은 랜섬웨어로 위장했지만 실질적으로 복구가 불가능한 파괴형 악성코드로 랜섬머니를 얻기보다는 대상 장치의 작동을 불가능하게 만들도록 설계되었다. ▶ 아래의 링크는 해당 악성코드에 대해 게시된 자사 블로그 정보성 글이다. 2022.01.17 - [최신 보안 동향] - 우크라이나를 표적으로 한 악성코드 등장 "WhiperGate" 악성코드는 두 단계의 악성 파일을 유포한 후 실행시킨다. 1단계의 악성 파일은 사용자 PC의 MBR을 랜섬노트 출력하는 코드로 변경하여 사용자가 재부팅 시 PC가 켜지지 않고, 공격자가 지정한 랜섬노트를 띄운다. 이후 악성코드는 자동으로 재부팅을 수행하지 않고, ..

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..