잉카인터넷 시큐리티대응센터 블로그

국내 안드로이드 사용자를 공격해 민감 정보를 탈취한 모바일 악성코드 SpyAgent가 발견됐다. 공격자는 소셜 미디어 메시지를 이용해 정부 서비스나 부고 연락 관련 앱 등의 다운로드 사이트로 위장한 악성 링크를 전송하고 사용자의 접속을 유도한다. 사용자가 링크에 접속해 앱을 다운로드하려고 하면 공격자가 준비한 악성 APK 파일이 설치된다. 이후, 해당 APK 파일이 앱을 설치하는 동안 메시지와 연락처 등의 민감 정보에 접근하고 백그라운드에서 실행할 수 있는 권한을 요구한다. 앱 설치가 완료되면, 부여된 권한으로 사용자의 기기에서 민감 정보를 탈취해 공격자가 제어하는 원격 서버로 전송한다. 보안 업체 McAfee 측은 SpyAgent를 사용해 이미지 파일에서 문자를 인식하는 OCR 기술로 암호화폐 지갑을 ..

최근 NFC 데이터를 훔쳐 비접촉식 결제 카드를 복제하는 새로운 안드로이드 맬웨어 NGate가 발견됐다. 보안 업체 ESET의 보고서에 따르면, 체코의 금융 기관 세군데를 타깃으로 NGate를 사용하는 캠페인을 발견했다고 밝혔다. 공격자는 사용자에게 Google Play 스토어에서 제공되는 합법적인 은행 웹사이트나 공식 모바일 뱅킹 앱을 가장한 후 악성 도메인으로 연결해 NGate를 설치하도록 유도한다. 이때 설치된 NGate는 사용자에게 스마트폰의 NFC 기능을 켜라고 요청하여 악성 앱이 카드를 인식할 때까지 스마트폰 뒷면에 지불 카드를 놓으라는 지시를 요청한다. 또한, 은행 ID, 생년월일 및 은행 카드의 PIN 코드를 포함한 민감한 금융 정보를 입력하도록 요청해 공격자의 안드로이드 기기로 전송시킨다..

Google Chrome에서 올해 10번째 제로데이 취약점 패치 소식을 알렸다. 이번 제로데이 취약점은 Chrome 브라우저에서 V8의 부적절한 구현을 제대로 처리하지 못해 발생하는 것으로 알려졌다. 해당 취약점은 CVE-2024-7965로 번호가 매겨졌으며, 윈도우와 리눅스 및 맥OS 환경의 Chrome 브라우저에 영향을 미친다고 전해졌다. 이에 대해 Google 측에서 리눅스 환경은 128.0.6613.84 버전으로, 윈도우와 맥OS 환경은 128.0.6613.84/.85 버전으로 업데이트할 것을 권고했다. 또한, 실제로 공격에 악용된 정황이 발견됐다고 덧붙였다. 출처[1] Google (2024.08.21) – Stable Channel Update for Desktophttps://chromere..

“Qilin” 랜섬웨어 조직이 Chrome 브라우저에 저장된 자격 증명을 탈취한 정황이 발견됐다. 보안 업체 Sophos 측은 “Qilin” 조직이 다중 인증(MFA)을 사용하지 않는 VPN 포털을 통해 내부로 침투한다고 설명했다. 이후, 18일간의 휴면 상태를 거쳐 도메인 컨트롤러로 이동하며, 기본 도메인 정책을 편집해 로그온 기반의 그룹 정책 개체(GPO)를 추가한다고 전했다. 해당 개체는 Chrome 브라우저에 저장된 자격 증명을 탈취할 PowerShell 스크립트와 이를 실행할 배치 스크립트를 포함한다고 덧붙였다. 한편, 공격자는 수집한 정보를 탈취한 후에도 도메인 컨트롤러와 이벤트 로그에서 흔적을 지운 후에 시스템 암호화와 랜섬노트 생성 등의 공격을 이어간 것으로 알려졌다. 이에 대해 Sopho..

보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다. Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 ..

러시아 사이버 보안 회사인 Kaspersky에 따르면 최근 러시아 정부와 IT 기관을 표적으로 하는 EastWind라는 코드명의 스피어 피싱 캠페인을 발견했다고 보고했다. 공격은 Windows 바로가기(LNK) 파일을 포함하는 RAR 압축 첨부 파일을 사용하며, 사용자가 해당 파일을 열면 악성 백도어가 배포된다. 이때 배포되는 백도어에는 GrewApacha와 CloudSorcerer 백도어의 업데이트 버전, 그리고 이전에 문서화되지 않은 PlugY라는 맬웨어가 포함된다. 그 중 GrewApacha는 공격자가 제어하는 GitHub 프로필을 통해 C&C 서버와 통신한다는 특징이 있다. 또한, CloudSorcerer는 클라우드 인프라를 통해 사용자 장치 모니터링, 데이터 수집 및 유출에 사용되며, PlugY..

최근에 웹 브라우저의 악성 확장 프로그램을 유포해 사용자의 시스템을 공격한 캠페인이 발견됐다. 보안 업체 ReasonLabs 측은 Google 검색 결과에 나오는 악성 광고에서 캠페인이 시작된다고 전했다. 공격자는 사용자가 해당 광고로 접속하면 가짜 다운로드 사이트로 연결해 잘 알려진 소프트웨어의 설치 프로그램을 다운로드하도록 유도한다. 사용자가 설치 프로그램을 실행하면 원하던 소프트웨어가 아닌 PowerShell 스크립트가 실행되면서 공격자의 원격 서버에서 악성 페이로드가 다운로드 된다. 이후, 주기적으로 스크립트를 실행해 추가 페이로드를 설치하도록 스케줄을 설정하고 레지스트리 값을 수정해 웹 브라우저 확장 프로그램을 설치한다. 이때 설치된 확장 프로그램은 사용자의 검색 쿼리를 하이재킹해 악성 광고 페..

최근에 한국인터넷진흥원을 사칭한 피싱 메일이 유포되는 정황이 발견됐다. 사용자는 한국인터넷진흥원으로 표시된 발신자로부터 자신의 계정으로 스팸 메일이 발송됐다는 내용의 메일을 수신하게 된다고 알려졌다. 하지만 실제로 발신자의 이메일 주소는 한국인터넷진흥원의 주소(kisa.or.kr, krcert.or.kr)와 다른 것으로 전해졌다. 또한, 메일에는 계정이 노출됐다고 언급하면서 “비밀번호 변경” 링크로 접속하도록 유도하는데, 실제로는 공격자가 준비한 피싱 사이트로 연결된다는 사실이 밝혀졌다. 이에 대해 한국인터넷진흥원 측은 메일 수신 시에 발신자 정보를 정확히 확인하고, 이메일에 연결된 사이트 주소가 정상 사이트 주소와 일치하는지 확인할 것을 당부했다. 출처[1] 한국인터넷진흥원 (2024.08.07) – ..

최근 사이버 보안 연구원들이 Chameleon 안드로이드 뱅킹 트로이 목마의 새로운 기술을 발견했다. 보안 업체 ThreatFabric은 Chameleon이 고객 관계 관리(CRM) 앱으로 위장해 캐나다 레스토랑 체인을 표적으로 삼고있다고 밝혔다. 해당 앱은 설치되면 CRM 앱의 가짜 로그인 페이지를 표시한 다음 사용자에게 앱을 다시 설치하라고 요청하는 오류 메시지를 표시하지만, 실제로는 Chameleon 페이로드를 배포한다. 이후 Chameleon이 배포되면 백그라운드에서 키로깅을 사용해 사용자의 자격 증명, 연락처 목록 및 지리적 위치 정보 등을 수집하고, 최종적으로 은행 계좌에 접근해 금융 데이터를 훔친다. 외신은 이를 통해 공격자가 민감한 은행 정보와 손상된 기계 정보를 사용해 기타 관련 데이터를..

최근, 랜섬웨어 조직에서 ESXi 인증 우회 취약점을 악용하는 정황이 발견됐다. Microsoft 측은 CVE-2024-37085로 번호가 매겨진 ESXi 하이퍼바이저 인증 우회 취약점에 대한 보고서를 공개했다. 공격자가 해당 취약점으로 “ESX Admins” 그룹과 사용자를 생성하면, ESXi 하이퍼바이저의 모든 관리 권한을 획득할 수 있다고 언급했다. 또한, 현재까지 “Akira”와 “BlackBasta” 조직에서 해당 취약점을 공격에 사용한 정황이 발견됐다고 덧붙였다. 이에 대해 VMware에서 발표한 보안 업데이트 적용을 권장하며 조직의 네트워크를 보호하는 지침을 안내했다. 한편, CISA 측은 알려진 악용 취약점 카탈로그에 CVE-2024-37085를 추가했으며, 악의적인 공격 경로로 사용될 가..