잉카인터넷 시큐리티대응센터 블로그

최근 개봉한 영화인 "스파이더맨-노 웨이 홈"의 다운로드 파일로 위장한 코인 마이너 악성코드가 불법 영상물 다운로드 사이트에서 발견됐다. 보안 업체 ReasonLabs는 해당 파일을 실행하면 사용자 PC에서 정상 프로그램으로 위장한 후, XMRig를 실행해 모네로 코인을 채굴한다고 언급했다. 추가로, 자동 실행 등록, 파일 드롭 등의 동작을 하며 파일명으로 "spiderman_net_putidomoi.torrent.exe"를 사용한다고 알렸다. 출처 [1] ReasonLabs – Spider-Miner: With Great Power Comes Great Problems! https://blog.reasonsecurity.com/2021/12/23/spider-miner-with-great-power-c..

최근 Amazon의 AWS가 중단되면서, 해당 서비스를 이용하던 Twitch, Zoom, Hulu 등 여러 기업의 서비스 또한 중단되는 사건이 발생하였다. 이는 2020년부터 종종 발생하였으며, 지난 7일에 이어 일주일 만에 다시 발생한 것으로 알려진다. 이 사건으로 Amazon 배송 경로 및 일정을 확인하는데 문제가 발생하였고, Netflix, Amazon Prime과 같은 스트리밍 서비스에도 영향을 끼친 것으로 밝혀졌다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.17) - AWS down again, outage impacts Twitch, Zoom, PSN, Hulu, others https://www.bleepingcomputer.com..

Apache의 Log4j 제로데이 취약점인 CVE-2021-44228의 보안 업데이트가 배포됐지만 12월 14일, 두번째 취약점이 발견됐다. 이에 대해 업데이트를 발표하였다. Apache는 첫번째 취약점을 보완한 버전인 Apache Log4j v2.15.0이 특정한 구성 요소에서 불완전한 모습을 보인다고 알렸으며 이완 관련된 두번째 취약점에 대해 CVE-2021-45046으로 지정했다. 해당 취약점은 JNDI 조회 패턴에서 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킬 수 있다. Apache는 CVE-2021-45046 취약점을 해결하기 위해 Log4j 2.16.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다. 사진 출처: Apache 홈페이지 출처 [1] L..

미국의 인터넷 및 TV 케이블 제공업체인 Cox Communications에서 데이터 유출 사실을 공개했다. Cox Communications는 고객의 이름, 주소, 전화번호, cox 계좌번호, 핀 코드 등의 개인 정보가 탈취되었다고 전했다. 해당 공격은 사회공학 기법을 사용하여 Cox 내부 네트워크에 접근한 다음 고객 정보를 탈취한 것으로 추정되며, 해당 유출의 피해 고객의 수와 정확한 사건이 발생한 원인에 대해서는 알려진 바가 없는 것으로 전해진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Cox discloses data breach after hacker impersonates support agent https://www.b..

최근 300개 이상의 금융 앱을 표적으로 하는 공격이 Anubis 악성코드가 발견되었다. 해당 악성 앱은 안드로이드 단말기를 대상으로 Orange SA 앱을 위장하여 유포되었다. 2016년부터 활동한 것으로 알려진 Anubis 악성코드는 2020년, 쇼핑 및 은행 앱을 대상으로 하는 대규모 캠페인을 통해 발견된 바 있다. 해당 캠페인에서는 로그인 자격증명을 탈취하는 등의 악성 동작을 수행하였으나, 최근 공격에서는 녹음, 키로깅, DB 정보 탈취 등으로 악성 동작이 확대되었다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Anubis Android malware returns to target 394 financial apps https:..

지난 6일 Apache의 Log4j 제로데이 취약점이 발견되어, 이에 대해 업데이트를 발표하였다. 해당 취약점은 Apache의 오픈 소스인 Log4j 라이브러리 취약점으로 CVE-2021-44228 로 지정되었다. Log4j는 클라우드 서비스를 비롯하여 Apple, Amazon과 같은 소프트웨어에서도 사용되기에 해당 취약점이 악용되면 큰 피해가 발생할 것으로 추정된다. Apache는 CVE-2021-44228 취약점을 해결하기 위해 Log4j 2.15.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다. 사진 출처: Apache 홈페이지 출처 [1] Logging Apache (2021.12.13) - Apache Log4j Security Vulnerabilities https://..

독일의 한 보안회사, G DATA에서 STOP 랜섬웨어의 암호화 동작을 방지하는 백신을 출시하였다. 해당 백신은 STOP 랜섬웨어의 악성동작 자체를 막지는 못하지만, 파일의 암호화 동작을 차단할 수 있다고 전해진다. STOP 랜섬웨어의 암호 해독 소프트웨어는 지난 2019년 10월에 출시된 바가 있다. 하지만 그 이후로 다양한 변종이 등장하였기 때문에 최신 변종에 대해서는 G DATA의 백신을 통해 추가적인 암호화 동작을 막는 것이 최선의 방법으로 알려진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - STOP Ransomware vaccine released to block encryption https://www.bleepingcom..

최근 Gitlab과 Atlassian Confluence를 대상으로 Cerber랜섬웨어가 다시 등장하였다. Cerber랜섬웨어는 2016년에 처음 나타나 2019년까지 지속적으로 모습을 드러내다 서서히 사라졌다. Cerber랜섬웨어 변종은 과거와 달리 더욱 강력해진 모습으로 돌아왔다. Windows를 포함하여 Linux 시스템까지 공격 대상을 확대하고 Gitlab과 Atlassian Confluence의 원격코드 실행 취약점을 악용하여 서버에 접근하고, 악성 동작을 수행한다. 이때 사용된 취약점은 CVE-2021-26084과 CVE-2021-22205이다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - New Cerber ransomwar..

지난 11월 Cuba 랜섬웨어의 배후 그룹은 정보 및 의료, 금융 등의 기관을 공격하였다. 이로 인해 적어도 49개가 넘는 기관이 피해를 입었고, 이에 대하여 미국 연방수사국(FBI)은 관련된 세부 정보를 발표하였다. Cuba 랜섬웨어는 2019년 최초로 등장하였으며, 현재까지 4,390만 달러가 넘는 이익을 창출한 것으로 알려진다. 해당 랜섬웨어는 주로 피싱 메일, MS Exchange 서버의 취약점, RDP 도구 등을 사용하여 사용자의 네트워크에 접근하고, 그 후 파일 암호화 등의 공격을 수행한다. 사진 출처: FBI 출처 [1] Securityweek (2021.12.08) - FBI Warns of Cuba Ransomware Attacks on Critical Infrastructure http..

코로나19가 지속적으로 확산되는 가운데 최근, 오미크론 변종이 발견되어 화제가 되고 있다. 이러한 뉴스를 악용하여 일부 대학을 표적으로 하는 피싱 메일이 다량 발견되었다. Proofpoint에 따르면, 피싱 메일은 방학 시즌을 맞이한 학생 및 교직원을 대상으로 "Information Regarding COVID-19 Omicron Variant"과 같은 제목으로 유포되었다. 메일에는 대학 계정 자격증명을 탈취하기 위해 공식 로그인 페이지를 위장한 URL이나 htm파일이 첨부 되어있다. 사진 출처: Proofpoint 출처 [1] Proofpoint (2021.12.08) - University Targeted Credential Phishing Campaigns Use COVID-19, Omicron T..