잉카인터넷 시큐리티대응센터 블로그

암호화폐 채굴 게임을 악용한 사이버 공격

암호화폐 채굴 게임으로 알려진 Hamster Kombat을 악용한 사이버 공격 사례가 여럿 발견됐다. 보안 업체 ESET 측은 Hamster Kombat이 텔레그램 채널에서 공유되는 게임이라고 설명했다. 유포 경로를 악용한 공격자가 텔레그램 채널을 개설해 해당 게임으로 위장한 안드로이드 스파이웨어 “Ratel”을 배포한 정황이 알려졌다. 또한, 해당 게임을 설치할 수 있다고 속여 사용자에게 원치 않는 광고를 보여주는 가짜 앱 스토어 사이트도 발견됐다. 이 외에도 GitHub 저장소를 이용해 “Lumma Stealer”를 윈도우 환경에서 게임을 자동화로 실행할 수 있는 도구라고 소개하면서 유포한 사례가 전해졌다. 이에 대해 ESET 측은 Hamster Kombat 게임이 인기가 많아 앞으로도 사이버 공격에..

보안 업체 CrowdStrike 사에서 윈도우 호스트용 Falcon 업데이트 파일에 결함이 발견돼 급히 공지했다. 한국인터넷진흥원 측은 Falcon 제품군의 윈도우용 최신 패치를 적용할 경우 윈도우 시스템이 비정상 종료되는 문제가 발생한다고 전했다. 이후, 해당 문제를 악용한 사이버 공격 시도가 해외에서 발생하고 있어 추가로 알렸다. 첫 번째 공격 사례는 최신 패치를 적용한 후에 발생하는 문제를 복구해준다며 악성코드를 유포하는 것으로 전해졌다. 두 번째는 CrowdStrike 사의 지원을 받는다고 위장한 후 피싱 메일을 발송해 개인정보를 입력하도록 유도하는 공격으로 알려졌다. 이번 문제에 대해 CrowdStrike 측은 인터넷을 연결한 호스트를 재부팅한 후 결함이 발견된 채널 파일을 업데이트하는 방법을 ..

후티 반군을 지지하는 위협 집단으로 의심되는 단체가 예멘에서 활동하는 인도주의 단체 최소 3곳을 공격했다고 밝혀졌다. 보안 업체 Recorded Future에 따르면, OilAlpha라고 불리는 위협 그룹이 CARE International, 노르웨이 난민 위원회(NRC), 사우디 아라비아 킹 살만 인도주의 지원 및 구호 센터를 대상으로 악성 안드로이드 설치 파일을 배포했다고 언급했다. 해당 악성 앱은 SpyNote 혹은 SpyMax라고도 불리는 트로이 목마를 설치하여 사용자의 카메라, 오디오 및 연락처 등에 대한 액세스를 포함한 권한을 요청해 민감 정보를 수집하려고 시도한다. 또한, 해당 단체들의 로그인 페이지를 사칭해 사용자를 리디렉션하고, 자격 증명을 입력하게 한 후 로그인 정보를 수집하는 등 사용..

OpenSSH의 서버(sshd)에서 “CVE-2024-6387”로 번호가 매겨진 원격 코드 실행 취약점이 발견됐다. OpenSSH 측은 컴퓨터 보안 기술인 ASLR(Address Space Layout Randomization)이 설정된 32비트의 glibc 기반 리눅스 시스템에서 해당 취약점이 입증됐다고 언급했다. 또한, ASLR이 없는 시스템이나 다운스트림 리눅스 배포판을 사용하는 시스템의 경우에 잠재적으로 취약점이 악용될 가능성이 더 높을 수 있다고 전했다. 한편, 64비트 시스템과 glibc 기반이 아닌 시스템은 취약할 수는 있으나 아직 영향력이 입증되지 않은 상태라고 덧붙였다. 이에 대해 OpenSSH 측은 sshd의 8.5p1부터 9.7p1까지의 버전이 영향을 받을 수 있어 현재 출시된 9.8..

보안 업체 Check Point에서 안드로이드 기기를 공격하는 “Rafel” 악성코드 변종을 발견했다. “Rafel” 악성코드는 이미 잘 알려진 앱으로 위장해 사용자가 다운로드하도록 유도하며, 실행할 경우 백그라운드에서 공격을 수행한 것으로 알려졌다. 이때, 공격자의 C&C 서버로 장치의 정보를 전송하고 명령을 받으며, 변종에 따라 그 명령의 범위가 다를 수 있다고 전해졌다. 특히 외신에서는 장치 관리자 권한을 획득한 후에 AES 암호화를 사용해 랜섬웨어 공격을 하는 변종을 언급했다. 해당 변종은 공격 이후에 지정한 메시지가 보이도록 바탕화면을 변경하고 텔레그램으로 연락할 것을 촉구한다고 덧붙였다. Check Point 측은 삼성과 LG를 포함해 안드로이드를 사용하는 많은 업체가 “Rafel” 악성코드의..

최근 사이버 보안 연구원들이 맞춤형 백도어를 사용해 파키스탄 사람들을 표적으로 삼는 새로운 피싱 캠페인을 발견했다. 보안 업체 Securonix에서 PHANTOM#SPIKE로 명시한 해당 캠페인의 공격자는 군사 관련 내용의 문서를 활용해 피싱 공격을 한다고 말했다. 외신에 공유된 보고서에 따르면 이 캠페인은 정교함이 부족하고 대상 시스템에 대한 원격 엑세스를 달성하기 위해 간단한 페이로드를 사용한다는 특징이 있다고 밝혔다. Securonix는 피싱 이메일에 러시아 연방 국방부가 주최한 국제군사기술포럼 행사와 관련된 회의록으로 추정되는 ZIP 아카이브가 포함되어있다고 전했다. ZIP 파일에는 Microsoft CHM 파일과 숨겨진 실행 파일이 들어있으며, 이 파일을 열면 회의록과 몇 개의 이미지가 표시되고..

한국인터넷진흥원에서 “KISA와 함께하는 뱅크샐러드 이벤트”라는 내용으로 유포된 사칭 스미싱에 대해 공지했다. 사칭 스미싱에는 공격자가 제작한 피싱 페이지로 연결되는 링크가 있으며, 사용자가 접속할 경우에 개인정보를 입력하도록 유도한다고 전했다. 이후, 이벤트에 당첨돼 당첨금을 수령해야 한다는 빌미로 금융 정보 등의 추가 입력을 요구한다고 덧붙였다. 이 과정에서 공격자는 한국인터넷진흥원에서 작성한 것으로 위장한 위조 공문을 사용자에게 제공한다고 언급했다. 이에 대해 한국인터넷진흥원 측은 스미싱 문자 신고 방법과 함께 대응 방안을 안내하고 있다. 사진 출처 : 한국인터넷진흥원 출처[1] 한국인터넷진흥원 (2024.06.14) – 한국인터넷진흥원 사칭 스미싱 주의https://www.boho.or.kr/kr..

최근 가짜 채용 공고가 포함된 이메일을 통해 Warmcookie 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Elastic Security Labs에 따르면 공격자는 사용자에게 합법적인 플랫폼을 모방한 악성 페이지로 리디렉션하는 링크가 포함된 이메일을 보낸다고 전했다. 사용자가 링크를 클릭하면 CAPTCHA 입력을 요구하는 메시지가 표시되고 인증이 완료되면 JavaScript 파일이 다운로드된다. 이후 지정된 링크를 통해 최종 페이로드를 다운로드하고, 10분마다 자동 실행되는 예약 작업을 설정한다고 전했다. 최종적으로 C&C 서버와 통신을 설정하고 사용자 컴퓨터의 정보 검색 및 스크린샷 캡처 등을 수행한 후 공격자에게 전송한다고 언급했다. Elastic Security Labs의 분석가들은 Warmc..

최근 가짜 이력서로 위장한 “More_Eggs” 악성코드를 유포하는 새로운 피싱 캠페인이 발견됐다. 공격자는 구직자로 위장해 채용 담당자에게 접근한 후 가짜 이력서를 다운로드할 수 있는 사이트의 링크를 전송했다. 이후, 담당자가 사이트에 접속하면, “Download CV” 버튼을 클릭해 악성 바로 가기 파일을 다운로드하도록 유도했다. 해당 바로 가기 파일은 합법적인 프로그램을 로더로 악용해 추가 페이로드를 설치하는 등의 공격을 수행한 것으로 알려졌다. 또한, 이 과정에서 시스템 정보를 수집해 공격자의 C&C 서버로 전송하는 등 이전에 발견된 캠페인과 유사한 기능이 있는 것으로 전해졌다. 이에 대해 보안 업체 eSentire 측은 직원 채용 과정과 같이 대중으로부터 문서를 받을 때에는 주의가 필요하며 첨부..

최근 “GhostEngine”을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다. 현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 “GhostEngine”은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 “XMRig”를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다. 이에 대해 보안 업체 Elastic Security Labs 측은 “GhostEngine”을 식별할 수 있는 YARA 규칙을 배포하고 있다. 사진 출처 : Elastic Security Labs 출처[1] Elastic..