잉카인터넷 시큐리티대응센터 블로그

최근 블록체인 브릿지 서비스 웜홀(Wormhole)이 해킹 공격으로 인해 가상화폐를 탈취당했다. 블록체인 브릿지 서비스는 특정 가상화폐를 블록체인에서 다른 블록체인으로 옮길 수 있게 해주는 서비스다. 피해 업체의 사고 보고서에 따르면, 이번 해킹은 솔라나(Solana)라는 블록체인에서 서명 검증을 제대로 처리하지 못해 발생하는 취약점을 악용한 것으로 알려졌다. 이와 관련해 피해 업체는 해당 취약점을 수정했으며 현재 모든 자금이 회수된 상태라고 알렸다. 사진 출처 : Twitter 출처 [1] Wormhole Blog (2022.02.02) – Wormhole Incident Report https://wormholecrypto.medium.com/wormhole-incident-report-02-02-2..

지난달 DeadBolt 랜섬웨어 조직이 대만의 네트워크 장비 업체 QNAP의 NAS 장치를 암호화하고 랜섬머니를 요구하는 사건이 발생했다. 외신에 따르면 해당 랜섬웨어는 QNAP NAS 장치의 파일을 암호화하고, 파일명에 ".deadbolt"라는 확장자를 추가한다고 알려졌다. 또한 공격자가 QNAP의 로그인 페이지를 하이재킹해 "WARNING: Your files have been locked by DeadBolt"라는 랜섬노트를 생성한다고 언급했다. 이에 대해 피해 업체는 사용자들에게 NAS가 인터넷에 노출되지 않도록 즉각적인 조치를 취할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2022.01.25) - New DeadBolt ransom..

최근 교통 민원 문자로 위장한 피싱 문자가 소비자에게 전송되고 있다. 문자는 "교통민원24"에서 보낸 과속으로 인한 벌점 보고서라는 내용으로 위장되며 해당 내용과 함께 링크가 첨부되어 전송된다. 문자를 수신한 사용자가 해당 링크로 접속할 경우 "경찰청 교통민원24"로 위장한 피싱 사이트로 연결되며 휴대전화 번호, 이름 및 생년월일과 같은 개인정보 입력을 요구한다. 사용자가 해당 내용을 입력 시 개인정보가 탈취될 수 있다. 개인 정보 입력 이후, 추가 파일 다운로드 페이지가 나오며 해당 앱을 다운로드하면 사용자의 휴대폰이 해킹될 수 있어 주의가 필요하다. 만약, 피싱 문자메시지 수신 또는 첨부 링크에 접속하여 추가 파일을 다운로드한 경우에는 경찰청(국번없이 112)이나 한국인터넷진흥원에서 운영하는 불법스팸..

최근 FBI가 QR코드를 활용해 각종 금융 정보와 크리덴셜을 훔치는 사이버 범죄에 대해 경고했다. FBI는 악의적으로 제작한 QR코드를 스캔하면 공격자의 악성 사이트로 연결되고, 개인 및 금융 정보를 요구하는 메시지가 표시된다고 알렸다. 또한 해당 기관은 QR코드를 통해 이동한 사이트에서의 결제를 지양하고, 실제 QR코드를 스캔하는 경우 원본 코드 위에 스티커를 붙이는 등 코드가 변조되지 않았는지 확인할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] Internet Crime Complaint Center (2022.01.18) - Cybercriminals Tampering with QR Codes to Steal Victim Funds https://www.ic3.gov/M..

최근 Rust 프로그래밍 언어에서 CVE-2022-21658로 불리는 권한 상승 취약점이 발견됐다. 해당 취약점은 std::fs::remove_dir_all 표준 라이브러리 함수를 제대로 처리하지 못해 발생하는 취약점이다. 외신은 이를 악용하면 권한이 없는 사용자가 파일 및 디렉터리를 삭제할 수 있다고 언급했다. 이에 대해 Rust 보안 팀은 해당 취약점에 대한 보호 기능이 있지만, 표준 라이브러리에서 올바르게 구현되지 않아 취약점이 발생했다고 알렸다. 출처 [1] SecurityAffairs (2022.01.24) - A flaw in Rust Programming language could allow to delete files and directories https://securityaffairs...

20,000개 이상의 WordPress 사이트에 설치된 플러그인에서 크로스 사이트 스크립트 취약점이 발견되었다. 이는 WP HTML Mail 플러그인의 취약점으로, WP HTML Mail WordPress 이메일 템플릿 디자이너 플러그인이다. 해당 취약점은 CVE-2022-0218로 지정되었으며, 이 취약점을 사용하면 REST-API 끝점을 실행하여 이메일의 테마 설정에 접근이 가능하다. 인증되지 않은 사용자가 액세스 권한을 획득하여 이메일 템플릿을 쉽게 변경할 수 있고, HTML 메일 편집기에 자바 스크립트 등을 삽입할 수 있다. 사진 출처: Wordfence 출처 [1] Wordfence (2022.01.25) - Unauthenticated XSS Vulnerability Patched in HTM..

최근 파워포인트 문서를 사용해 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인에서 발견한 악성 문서를 실행하면 공격자가 운영하는 C&C 서버에서 "Warzon" 또는 "AgentTesla" 악성코드를 다운로드 및 실행한다. 보안업체 NetSkope는 해당 캠페인에서 공격자들이 Blogger나 GitHub 등의 정상적인 클라우드 서비스를 악용해 악성코드를 유포한다고 알렸다. 또한, 악성코드를 실행해 사용자 PC를 조작하거나 암호 화폐 등의 정보를 탈취할 수 있다고 언급했다. 출처 [1] NetSkope (2022-01-25) - Infected PowerPoint Files Using Cloud Services to Deliver Multiple Malware https://www.netskope.co..

최근 암호화폐 지갑 등에서 정보를 탈취하는 BHUNT 악성코드가 발견됐다. 보안 업체 BitDefender는 BHUNT 악성코드가 Microsoft 제품의 불법 인증 툴인 KMSpico를 통해 사용자들에게 유포됐으며, 특정 업체에서 훔친 디지털 서명을 사용했다고 알렸다. 또한, Blackjack 등으로 이름 붙여진 5개의 모듈을 사용해 암호화폐 지갑 정보와 브라우저 암호 등을 탈취할 수 있다고 언급했다. 출처 [1] BitDefender (2022-01-25) - Poking Holes in Crypto-Wallets: A Short Analysis of BHUNT Stealer https://www.bitdefender.com/blog/labs/poking-holes-in-crypto-wallets-a..

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신은 해당 랜섬웨어가 VMware에서 제공하는 커맨드 라인 툴인 esxcli를 사용해 서버의 모든 ESXi 관련 시스템을 종료한다고 알렸다. 이후, “AvosLocker” 랜섬웨어는 암호화한 파일에 ".avoslinux" 확장자를 추가하고 "README_FOR_RESTORE"라는 이름의 랜섬노트를 생성해 감염된 PC의 사용자에게 랜섬머니를 요구한다. 사진 출처 : Twitter 출처 [1] Twitter (2022-01-25) - AvosLocker 리눅스 버전 관련 내용 트위터 게시글 https://twitter.com/ChristiaanBeek/status/148..

최근 캐나다의 연구기관 Citizen Lab이 2022 베이징 동계올림픽 공식 앱 "My 2022"에 다수의 보안 결함이 존재한다고 발표했다. 해당 연구기관은 "My 2022"가 일부 서버에 대한 SSL 인증서 검증에 실패해 서버에 전송하는 정보를 공격자 측에서 가로챈 후 변조할 수 있다고 알렸다. 또한 해당 앱이 메시지의 발신자, 수신자의 이름 및 사용자 계정 식별자 등의 메시지 관련 메타데이터를 암호화하지 않은 채 전송한다는 점도 언급했다. Citizen Lab은 베이징 동계올림픽 및 장애인 올림픽 조직 위원회에 이러한 결함을 보고했으나, 현재까지 답변을 받지 못했다고 전했다. 사진 출처 : CitizenLab 출처 [1] CitizenLab (2022.01.20) - Cross-country Exp..