잉카인터넷 시큐리티대응센터 블로그

Microsoft 사는 랜섬웨어로 위장한 MBR 파괴형 악성코드가 우크라이나의 공공 기관 사이트를 공격했다고 발표했다. Microsoft에서는 해당 악성코드를 "WhisperGate"라고 명명했으며 해당 악성코드로 인해 외교부, 농림부, 교육과학부, 안보 및 국방부 등 최소 15개 이상의 웹 사이트가 오프라인 상태가 되었다고 알렸다. 공격자는 웹사이트 손상 이후, 우크라이나 공공기관의 데이터를 탈취했으며 해킹 포럼에 공개했다고 밝혔지만 우크라이나 정부 측은 해킹 포럼에 게시된 정보들은 가짜이며 공격자가 우크라이나 국민들에게 정부에 대한 신뢰 약화를 야기하기 위한 목적이라고 반박했다. 사진 출처: 트위터 출처 [1] Microsoft – Destructive malware targeting Ukrainia..

최근 새롭게 등장한 Rook 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "우리는 새로운 그룹이며 매우 강한 힘을 가졌다. 따라서 언론이 우리를 공개했으면 좋겠다."라는 메시지가 작성돼 있다. 사이트에 게시된 데이터는 현재까지 총 6건으로 한 건은 러시아의 한 기업에서 탈취한 데이터이며 나머지 데이터는 업로드 대기중이다. [사진 출처: 다크웹]

최근 보안 업체 Cado Security의 연구원들이 동일한 C&C 서버를 사용하는 악성코드를 발견했다. 이들에 따르면 해당 악성코드 중 Abcbot 봇넷은 리눅스 시스템을 대상으로 디도스 공격을 하기 위해 사용하고, Xanthe 봇넷은 암호화폐 채굴을 위한 악성코드로 알려졌다. Cado Security의 연구원은 두 봇넷의 코드가 유사하며, 사용하는 C&C 서버가 같기 때문에 동일 세력일 가능성이 높다고 전했다. 또한, 외신에 따르면 공격자는 공격 목표를 암호화폐 채굴에서 DDoS 공격으로 전환하고 있는 것으로 추정한다고 말했다. 사진 출처 : SecurityAffairs 출처 [1] SecurityAffairs (2022.01.13) - Abcbot and Xanthe botnets have the ..

최근 보안 업체 SonicWall의 메일 보안 관련 제품에서 문제가 발생해 사용에 영향을 미쳤다. SonicWall은 해당 제품에서 Y2K22로 불리는 오류가 발생해 사용자들이 스팸메일함에 접근할 수 없었고, 메시지 로그를 통한 이메일 추적이 불가능하다고 알렸다. 또한, 외신에 따르면 Y2K22 오류는 Microsoft Exchange 서버에서 2022년 날짜의 최솟값이 변수에 저장할 수 있는 최댓값보다 큰 값을 사용하기 때문에 발생했다고 알려졌다. 문제를 해결하기 위해 해당 업체는 자사 제품에 대한 업데이트를 배포한 후 고객들에게 오류를 패치한 버전을 사용할 것 권고했다. 출처 [1] SecurityAffairs (2022.01.13) - Email Security Junk Box & Message L..

지난 12월 등장하여 전세계에 위협을 준 Log4j 취약점이 최근, 새로운 모듈식 악성코드 유포에 악용되었다. 이는 이란의 해커그룹인 Charming Kitten 에 의해 유포되었으며, 해당 취약점이 공개된 지 4일만에 공격을 시도한 것으로 전해진다. 해당 악성코드는 "CharmPower"라는 이름으로 불리우며, Powershell 모듈식 백도어이다. Log4j 취약점인 CVE-2021-44228 취약점을 악용하여 페이로드를 파워쉘로 실행하고 최종적으로 CharmPower 모듈을 사용자 PC에 설치하여 악성동작을 수행한다. 사진 출처: Check Point 출처 [1] Check Point (2022.01.12) - APT35 exploits Log4j vulnerability to distribute ..

최근 PurpleFox가 'Telegram Desktop.exe' 라는 이름으로 유포되었다. 해당 파일은 악성 다운로더를 드롭 및 실행하여 사용자 PC에 PurpleFox를 설치한다. PurpleFox는 보안 프로그램을 탐지하고, RAT의 기능을 수행할 수 있는 것으로 알려져 있다. 유포된 PurpleFox 중에는 RootKit의 기능이 존재하는 경우도 있는 것으로 전해진다. 유포된 악성 파일은 사용자를 속이기 위해, 다운로더와 함께 Telegram 인스톨러로 보이는 파일을 함께 생성하는데 이 파일은 정상적으로 실행되지 않는다. 사진 출처: Minerva Labs 출처 [1] Minerva Labs (2022.01.06) - Malicious Telegram Installer Drops Purple Fo..

대만, 일본 및 홍콩의 기업을 공격하여 기술 및 데이터를 탈취하는 Flagpro 악성코드가 등장했다. 이번 캠페인은 1년 전부터 일본 기업을 주요 대상으로 공격하기 시작했으며 일본의 국방, 미디어 및 통신 분야등 다양한 직종의 기업을 타겟으로 삼았다. 해당 악성코드는 중국 정부가 지원하는 것으로 추정되는 BlackTech APT 그룹이 제작한 악성코드로 추정되며 이번 캠페인에서는 신뢰할 수 있는 영업 파트너의 메시지로 위장하여 대상 기업에 피싱 메일을 보내는 것으로 알려졌다. “Flagpro” 악성코드는 감염된 기업 시스템의 정보를 탈취하고, 공격자의 C&C 서버로 전송한다. 또한, 명령을 공격자 서버에서 받아와 시스템을 원격으로 제어하거나 악성코드를 추가적으로 다운로드할 수 있다. 출처 [1] Blee..

최근 마이크로소프트 빌드 엔진인 MSBuild를 악용해 코발트 스트라이크를 유포한 정황이 발견됐다. 공격자는 공격에 사용한 MSBuild에 코발트 스트라이크를 빌드 및 실행이 가능하도록 작성한 코드를 추가했다. 이후, 해당 빌드 엔진을 실행하면 공격자의 C&C 서버와 통신해 추가 페이로드를 다운로드한다. 보안 전문가는 이번 사건과 관련해 윈도우 디펜더에서 악성 프로그램 차단 정책을 사용하면 유사한 공격을 무력화할 수 있다고 언급했다. 출처 [1] SecurityAffairs (2021.12.30) - Threat actors are abusing MSBuild to implant Cobalt Strike Beacons https://securityaffairs.co/wordpress/126104/hack..

최근 "AvosLocker" 랜섬웨어 조직이 미국의 정부 기관을 공격한 후, 무료로 복호화 툴을 제공한 정황이 알려졌다. 외신에 따르면 "AvosLocker" 측이 무료로 복호화 툴을 제공한 이유가 법 집행에 대한 두려움 보다는 돈을 받기 어렵기 때문이라고 언급했다고 알렸다. 또한, 공격 대상에 대한 정책은 별도로 없지만, 일반적으로 정부 기관과 병원은 피한다고 밝혔다. 사진 출처 : Twitter 출처 [1] Twitter (2021.12.30) – AvosLocker 관련 트위터 게시글 https://twitter.com/pancak3lullz/status/1476217440442925057 [2] BleepingComputer (2021.12.30) - Ransomware gang coughs up..

최근 해외 결제로 위장한 피싱 문자가 소비자에게 전송되고 있다. 문자에는 해외 결제 문자나 결제 시 사용되는 인증 번호 문자로 위장하여 전송되며 문자를 수신한 사용자가 결제 사실이 없어 해당 번호로 전화할 경우 개인정보 등이 탈취될 수 있기에 주의가 필요하다. 만약, 피싱 문자메시지 수신 또는 전화번호로 이미 연락한 경우에는 경찰청(국번없이 112)이나 한국인터넷진흥원에서 운영하는 불법스팸대응센터(국번없이 118)에 신고 및 상담할 것을 권고한다.