최신 보안 동향 353

인포스틸러로 돌아온 Aurora 악성코드

지난 4월, 해킹 포럼을 통해 봇넷 악성코드로 판매되던 "Aurora"가 인포스틸러 악성코드로 돌아왔다. 보안 업체 Sekoia에 따르면, 이 악성코드는 Go 언어로 작성됐으며, 암호화폐 지갑 등의 소프트웨어로 위장해 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 암호화폐 지갑 데이터와 브라우저 쿠키 및 화면 스크린샷 등의 정보를 수집해 공격자의 C&C 서버에 전송한다. 또한, 추가 악성코드를 다운로드하고 실행할 수 있는 다운로더 기능이 포함됐다고 밝혀졌다. 사진출처 : Sekoia 출처 [1] Sekoia (2022.11.21) – Aurora: a rising stealer flying under the radar https://blog.sekoia.io/aurora-a-rising-steale..

암호화폐 플랫폼의 고객센터를 사칭하는 피싱 공격

최근, 암호화폐 플랫폼의 고객센터를 사칭해 다단계 인증을 우회하고 암호화폐를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 PIXM에 따르면, 공격자가 암호화폐 플랫폼을 사칭한 피싱 사이트에서 사용자의 로그인 오류를 발생시킨 후, 고객 지원을 가장한 채팅을 통해 사용자로부터 계정 정보 입력을 유도하는 것으로 알려졌다. 해당 계정 정보를 통한 로그인에 실패할 경우, 공격자는 사용자에게 원격 제어 앱 'TeamViewer'의 설치를 요구하며 해당 앱으로 인증 정보를 탈취해 계정 로그인을 시도한다. 로그인에 성공할 경우, 실시간 채팅으로 사용자의 주의를 끌며 사용자 지갑의 암호화폐를 모두 탈취한다. 사진출처 : PIXM 출처 [1] PIXM (2022.11.21) - Cybercrime Group Expands..

PyPI 저장소에서 유포되는 악성 Python 패키지

최근, Python 패키지 저장소인 PyPI에서 이미지 파일에 코드를 숨기는 스테가노그래피를 악용한 악성 패키지가 발견됐다. 보안 업체 Check Point에 따르면, 공격자가 PyPI에서 "apicolor"라는 정상 패키지로 위장한 악성 패키지를 유포한다고 알려 졌다. 해당 패키지를 설치할 경우, 설치 패키지에 포함된 이미지 파일의 숨겨진 코드를 통해 악성코드를 다운로드 후 실행 한다. 현재, Check Point는 이 사실을 PyPI에 알렸으며, PyPI는 즉시 해당 악성 패키지를 제거했다고 밝혀졌다. 사진출처 : Check Point 출처 [1] Check Point (2022.11.09) – Check Point CloudGuard Spectral exposes new obfuscation tec..

인도네시아 BRI 은행의 고객을 대상으로 하는 피싱 캠페인

최근, 인도네시아 은행인 BRI(Bank Rakyat Indonesia) 고객을 대상으로 하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 BRI 은행으로 위장한 피싱 사이트와 악성 앱을 통해 피해자의 은행 계정 및 OTP를 탈취하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속해 로그인할 경우 입력한 계정 정보를 탈취하고, 추가적으로 OTP 정보를 탈취하기 위한 “SMSeye” 안드로이드 악성코드의 다운로드를 유도한다. 해당 악성 앱은 설치 후 SMS 접근 권한을 요구하고 사용자의 의심을 피하기 위해 실제 BRI 은행 사이트를 띄운다. 이후, 권한을 획득한 악성 앱은 사용자의 SMS 메시지로부터 OTP 정보를 탈취해 공격자의 텔레그램 봇으로 전송한다. Cyble은 Play 스토어 ..

PNG 파일을 통해 유포되는 DropBoxControl 인포스틸러

최근, PNG 파일을 통해 유포되는 "DropBoxControl" 인포스틸러가 발견됐다. 보안 업체 Avast에 따르면, 해커 그룹 Worok이 PNG 파일에 LSB 인코딩을 사용해 "DropBoxControl" 악성코드를 삽입하고 유포한 것으로 알려졌다. 악성 PNG 파일이 실행될 경우, 공격에 필요한 파일들을 드롭한 후 “PNGLoader”를 통해 이미지 파일에 삽입된 데이터를 추출하고 실행 파일 형태로 변환한다. 생성된 실행 파일은 “DropBoxControl” 악성코드로, DropBox에서 제공하는 파일 호스팅 서비스를 악용해 파일 유출 등의 악성 행위를 한다. 사진출처 : Avast 출처 [1] Avast (2022.11.10) - PNG Steganography Hides Backdoor ht..

Outlook과 Thunderbird 계정을 탈취하는 Strela Stealer 악성코드

최근, Outlook과 Thunderbird 계정을 탈취하는 "Strela Stealer" 악성코드가 발견됐다. 보안 업체 DCSO CyTec은 이 악성코드가 HTML 확장자를 가진 DLL 파일로 내부에 HTML 코드를 포함하고 있으며, 웹 브 라우저와 rundll32.exe를 통해 각각의 코드를 실행한다고 알렸다. 해당 악성코드는 주로 다양한 콘텐츠가 포함된 ISO 파일 을 통해 유포되며, ISO 파일 내부의 악성 LNK 파일을 통해 실행된다고 알려졌다. 악성 LNK 파일을 실행할 경우, 웹 브라우저를 통해 HTML 코드를 실행시켜 의심을 피하기 위한 웹 문서를 띄운다. 이후, "rundll32.exe"로 "StrelaStealer"를 실행해 Outlook과 Thunderbird에서 로그인 데이터를 수..

스팸 메일을 통해 유포되는 Emotet 악성코드 변종

최근, 스팸 메일을 통해 유포되는 "Emotet" 악성코드 변종이 발견됐다. 보안 업체 Cyble에 따르면 해당 악성코드는 스팸 메일에 첨부된 악성 파일을 통해 유포되었으며, 첨부된 악성 문서 파일을 실행할 경우 "Emotet" 악성코드를 다운로드해 백그라운드에서 실행한다. 또한 해당 악성코드는 C&C 서버로부터 추가 명령을 받아 실행하거나 "IcedID", "Bumblebee"와 같은 추가 악성코드를 설치한다. Cyble은 해당 악성코드의 주요 전파 경로인 스팸 메일에 대해 언급하며, 이메일에 포함된 신뢰할 수 없는 링크 또는 첨부 파일 등의 실행에 주의할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.11.09) - Emotet Returns Targeting Users W..

Google Play Store에서 유포되는 Xenomorph 악성 앱

최근, Google Play Store에서 정상 앱으로 위장한 "Xenomorph" 악성 앱이 발견됐다. 보안 업체 Zscaler는 해당 악성 앱이 "Todo: Day manager"라는 일정 관리 앱으로 위장해 Google Play Store에서 유포되고 있다고 알렸다. 이 앱을 설치할 경우, 은행 관련 앱에서 계정 정보를 탈취하고 메시지 및 알림을 가로채 일회성 암호와 다 단계 인증 코드를 훔친다고 알려졌다. Zscaler는 이러한 악성 앱의 유포가 더욱 증가할 것으로 예상돼 사용자들의 주의가 필요하다고 언급했다. 사진출처 : Zscaler 출처 [1] Zscaler (2022.11.10) – Rise of Banking Trojan Dropper in Google Play https://www.zs..

Windows 업데이트로 위장한 PowerShell 백도어

최근, 보안 업체 SafeBreach가 Windows 업데이트로 위장한 PowerShell 백도어를 발견했다. 해당 업체에 따르면, 공격자가 LinkedIn 구직 안내를 가장한 피싱 메일을 통해 PowerShell 스크립트를 실행하는 악성 워드 문서를 유포하는 것으로 알려졌다. 해당 문서 파일은 VBS 및 PowerShell 스크립트 파일을 드롭하고 Windows 업데이트로 위장한 예약 작업을 등록해 VBS 파일을 실행한다. 최종적으로 PowerShell 스크립트가 실행되면 피해자 PC의 데이터를 탈취해 공격자 서버로 전송한다. SafeBreach는 해당 악성코드 발견 당시, 공격에 사용된 PowerShell 스크립트가 국내외 백신 프로그램에서 탐지되지 않았다고 밝히며 주의를 권고했다. 사진출처 : Sa..

15년간 패치되지 않은 Python 취약점

최근, Python에서 15년간 패치되지 않은 취약점 CVE-2007-4559가 다시 주목받고 있다. 보안 업체 Trellix에 따르면 이 취약점은 Python의 TAR 압축 파일 관련 모듈인 tarfile의 extract 함수에서 발생하는 Directory Traversal 취약점으로 알려졌다. 공격자가 해당 취약점을 악용할 경우 TAR 압축 파일명에 "../" 문자열을 추가하여 기존 압축 해제 경로를 탈출하고 다른 경로에 존재하는 임의의 파일을 덮어쓸 수 있다. Trellix는 해당 취약점을 악용하기 매우 쉽고 보안에 대한 지식이 전혀 필요하지 않아 악용될 가능성이 높다고 경고했다. 사진출처 : Trellix 출처 [1] Trellix (2022.09.21) – Tarfile: Exploiting t..