최신 보안 동향 428

한국인터넷진흥원을 사칭한 스미싱 주의

한국인터넷진흥원에서 “KISA와 함께하는 뱅크샐러드 이벤트”라는 내용으로 유포된 사칭 스미싱에 대해 공지했다. 사칭 스미싱에는 공격자가 제작한 피싱 페이지로 연결되는 링크가 있으며, 사용자가 접속할 경우에 개인정보를 입력하도록 유도한다고 전했다. 이후, 이벤트에 당첨돼 당첨금을 수령해야 한다는 빌미로 금융 정보 등의 추가 입력을 요구한다고 덧붙였다. 이 과정에서 공격자는 한국인터넷진흥원에서 작성한 것으로 위장한 위조 공문을 사용자에게 제공한다고 언급했다. 이에 대해 한국인터넷진흥원 측은 스미싱 문자 신고 방법과 함께 대응 방안을 안내하고 있다. 사진 출처 : 한국인터넷진흥원 출처[1] 한국인터넷진흥원 (2024.06.14) – 한국인터넷진흥원 사칭 스미싱 주의https://www.boho.or.kr/kr..

피싱 캠페인을 통해 유포되는 Warmcookie 악성코드

최근 가짜 채용 공고가 포함된 이메일을 통해 Warmcookie 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Elastic Security Labs에 따르면 공격자는 사용자에게 합법적인 플랫폼을 모방한 악성 페이지로 리디렉션하는 링크가 포함된 이메일을 보낸다고 전했다. 사용자가 링크를 클릭하면 CAPTCHA 입력을 요구하는 메시지가 표시되고 인증이 완료되면 JavaScript 파일이 다운로드된다. 이후 지정된 링크를 통해 최종 페이로드를 다운로드하고, 10분마다 자동 실행되는 예약 작업을 설정한다고 전했다. 최종적으로 C&C 서버와 통신을 설정하고 사용자 컴퓨터의 정보 검색 및 스크린샷 캡처 등을 수행한 후 공격자에게 전송한다고 언급했다. Elastic Security Labs의 분석가들은 Warmc..

가짜 이력서로 위장한 More_Eggs 악성코드 유포 캠페인

최근 가짜 이력서로 위장한 “More_Eggs” 악성코드를 유포하는 새로운 피싱 캠페인이 발견됐다. 공격자는 구직자로 위장해 채용 담당자에게 접근한 후 가짜 이력서를 다운로드할 수 있는 사이트의 링크를 전송했다. 이후, 담당자가 사이트에 접속하면, “Download CV” 버튼을 클릭해 악성 바로 가기 파일을 다운로드하도록 유도했다. 해당 바로 가기 파일은 합법적인 프로그램을 로더로 악용해 추가 페이로드를 설치하는 등의 공격을 수행한 것으로 알려졌다. 또한, 이 과정에서 시스템 정보를 수집해 공격자의 C&C 서버로 전송하는 등 이전에 발견된 캠페인과 유사한 기능이 있는 것으로 전해졌다. 이에 대해 보안 업체 eSentire 측은 직원 채용 과정과 같이 대중으로부터 문서를 받을 때에는 주의가 필요하며 첨부..

GhostEngine을 이용한 암호화폐 채굴 캠페인

최근 “GhostEngine”을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다. 현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 “GhostEngine”은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 “XMRig”를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다. 이에 대해 보안 업체 Elastic Security Labs 측은 “GhostEngine”을 식별할 수 있는 YARA 규칙을 배포하고 있다. 사진 출처 : Elastic Security Labs 출처[1] Elastic..

Windows 기능을 악용한 Black Basta 랜섬웨어 공격

최근 Windows Quick Assist 기능을 사용해 사용자에게 Black Basta 랜섬웨어를 배포하는 정황이 발견됐다. Microsoft는 지난 4월부터 해당 캠페인을 조사했으며, 공격자가 사용자의 이메일 주소로 무차별 메시지를 전송한다고 전했다. 이로 인해 사서함이 불필요한 메일로 가득 차게 되면, 스팸 문제 해결을 돕는 헬프 데스크 직원으로 사칭한 공격자가 사용자에게 전화를 건다. 이때 사용자의 Quick Assist 내장 원격 제어 및 화면 공유 도구를 실행하도록 유도해 Windows 장치에 대한 액세스 권한을 부여하도록 속인다. 이후 악성 도구를 설치하고 전화 통화가 끝나면 사용자의 네트워크를 통해 Black Basta 랜섬웨어를 배포한다.  Microsoft는 이러한 사회 공학 기법 공격..

LockBit 랜섬웨어를 유포하는 이메일 캠페인

최근, 이메일 캠페인에서 “Phorpiex” 봇넷을 이용해 “LockBit” 랜섬웨어를 유포하는 정황이 발견됐다. 공격자는 이메일에 EXE 파일을 포함한 ZIP 파일을 첨부해 이번 캠페인에서 사용했다. 사용자가 EXE 파일을 실행하면 “Phorpiex” 봇넷의 인프라에서 “LockBit” 랜섬웨어 페이로드가 다운로드 된다. 이후, 랜섬웨어 페이로드는 시스템을 장악해 데이터를 탈취하고 파일을 암호화하는 등의 공격을 수행한다. 보안 업체 Proofpoint 측은 이번 캠페인에서 사용된 “Phorpiex” 봇넷이 대용량 이메일 캠페인에서 악성코드를 전달하는 봇넷이라고 설명했다. 또한, 이를 악용하면 캠페인의 규모가 커지고 랜섬웨어 공격의 성공 확률이 높아진다고 언급했다. 사진 출처 : Proofpoint 출처..

CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인

최근 CDN(Content Delivery Network) 캐시를 악용해 악성코드를 유포한 캠페인이 발견됐다. 보안 업체 Cisco Talos는 공격자가 탐지 기술을 회피하기 위해 CDN 캐시를 다운로드 서버로 사용했다고 언급했다. 또한, 업로드한 악성 ZIP 파일을 영화 파일로 속여 사용자가 다운로드하도록 유도했다고 전했다. 이때 사용자가 ZIP 파일을 다운로드해 내부의 바로가기 파일을 실행하면 감염 체인이 시작된다고 덧붙였다. 최종적으로 “Cryptbot”과 “LummaC2” 및 “Rhadamanthys” 등의 인포스틸러 악성코드를 사용해 사용자의 정보를 탈취한다고 설명했다. Cisco Talos 측은 캠페인에서 사용된 기술과 공격 방식을 근거로 베트남 출신으로 알려진 CoralRaider 조직이 배..

WordPress MiniOrange 플러그인의 치명적인 취약점

MiniOrange 사의 WordPress용 악성코드 스캐너와 웹 애플리케이션 방화벽 플러그인의 치명적인 취약점이 발견됐다. 발견된 취약점은 mo_wpns_init() 함수의 기능 확인을 제대로 처리하지 않아 발생하는 권한 상승 취약점으로 CVE-2024-2172 번호가 매겨졌다. 이를 이용하면 공격자는 임의의 사용자 비밀번호를 업데이트 할 수 있으며 자신에게 관리 권한을 부여해 대상 사이트의 모든 항목을 조작할 수 있게 된다. 이처럼 전체 웹 사이트를 완전히 손상시킬 수 있는 취약점은 악성코드 스캐너 4.7.2 및 이전 버전과 웹 애플리케이션 방화벽 2.1.1 및 이전 버전에 영향을 미친다. 이에 대해 보안 업체 WordFence 측은 해당 플러그인이 영구 폐쇄된 상태라고 언급하며 사용 중인 사용자에게..

합법적인 메일로 위장하는 SubdoMailing 캠페인

최근 합법적인 도메인으로 위장해 대량의 스팸 메일을 발송하는 “SubdoMailing” 캠페인이 발견됐다. 공격자는 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting and Conformance)의 이메일 인증을 이용해 스팸 필터를 우회한다. 또한, 더 이상 사용하지 않는 도메인을 가리키는 CNAME과 SPF 레코드를 하이재킹하는 등 합법적인 도메인의 하위 도메인을 탈취해 공격에 이용한다. 이로 인해 공격자는 합법적인 사용자로 위장해 스팸 메일을 정상 메일처럼 발송할 수 있다. 한편, 사용자는 메일 본문에 있는 버튼을 클릭할 경우 일련의 리다이렉..

다시 돌아온 Bumblebee 악성코드

작년에 자취를 감춘 “Bumblebee” 악성코드가 VBA 매크로를 사용하는 이메일 캠페인과 함께 돌아왔다. 보안 업체 Proofpoint는 미국 기업이 수신한 이메일 캠페인을 분석해 두 가지 특징을 발표했다. 첫 번째는 이메일의 OneDrive 링크가 연결하는 Word 문서이다. 이 문서는 VBA 매크로를 지원하며, 스크립트를 사용해 “Bumblebee”를 포함한 추가 페이로드를 다운로드한다. 이에 대해 기존에 발견된 캠페인 중 VBA 매크로를 사용한 사례가 전체 230개 중 1개에 불과하다며 그 차이를 언급했다. 두 번째 특징은 메일의 발신자 주소가 TA579로 알려진 조직에서 사용한 것과 동일하다는 것이다. 해당 특징을 최근 사이버 범죄 현황에 비추었을 때, 많은 악성코드와 조직이 활동을 중단했다가..