최신 보안 동향 416

Zimbra 이메일 계정을 노리는 피싱 캠페인

최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 ..

보안 봇을 회피하는 Raccoon 스틸러 판매 정황 발견

수백만 명의 개인정보를 탈취한 “Raccoon” 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다. “Raccoon” 스틸러는 감염된 시스템의 자격 증명과 암호화폐 지갑 정보 등을 탈취해 ‘%Temp%’ 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 보안 업체 CyberInt는 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다. 또한, 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다고 언급했다. 한편, 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다고 덧붙였다. 이에 대해 CyberInt ..

Microsoft 365 계정을 노리는 EvilProxy 피싱 캠페인

최근 서비스형 피싱 플랫폼인 “EvilProxy”를 사용해 Microsoft 365 계정을 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Proofpoint는 신뢰할 수 있는 업체로 위장한 공격자의 피싱 메일에서 캠페인이 시작된다고 전했다. 피싱 메일은 정상적인 웹사이트로 위장한 링크를 포함하고 있으며, 접속할 경우 공격자가 사전에 만든 사이트로 리다이렉션을 한다. 해당 링크로 접속한 사용자가 로그인을 시도하면, 공격자는 “EvilProxy”를 사용해 계정 정보와 MFA 인증 정보 등을 탈취한다. 이후, 탈취한 계정으로 로그인 한 공격자는 MFA 인증 방식을 추가해 지속적인 접근을 가능하게 하며 금융 사기 및 데이터 유출 등의 추가 공격을 수행할 수 있게 된다. 이에 대해 Proofpoint 측은 이메일 ..

Linux를 공격하는 Abyss Locker 랜섬웨어 변종

“Abyss Locker” 랜섬웨어가 Linux의 가상화 플랫폼인 VMware ESXi 서버를 공격하는 변종이 발견됐다. 발견된 변종은 ESXi 서버에서 호스트를 관리하는 esxcli 명령을 사용해 실행 중인 가상 머신을 모두 종료한다. 이후 가상 디스크, 스냅샷 및 메타데이터를 포함한 파일을 암호화한 후 파일명에 “.crypt” 확장자를 추가한다. 또한, “파일명.README_TO_RESTORE” 이름의 랜섬노트를 생성한다. 외신은 “Abyss Locker” 측이 자신들이 운영하는 데이터 유출 사이트에 14곳의 피해 업체 정보를 게시했다고 전했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2023.07.29) – Linux version of Abyss ..

사용자 계정 컨트롤을 우회하는 Casbaneiro 악성코드 변종

최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 “Casbaneiro” 악성코드 변종이 발견됐다. 보안 업체 Sygnia는 "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다. 이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동..

텔레그램 보안 업데이트로 위장한 피싱 사이트

한국인터넷진흥원과 과학기술정보통신부(과기정통부)는 텔레그램 메신저에서 보안 업데이트 안내로 위장한 메시지에 피싱 사이트 링크가 포함된 정황에 대해 공지했다. 한국인터넷진흥원은 공격자가 보안 업데이트 안내 메시지를 사용자에게 전달해 피싱 사이트 접속을 유도한다고 전했다. 현재, 해당 사이트는 사용자가 개인정보를 입력하도록 하는 것이 확인돼 긴급 차단됐다. 또한, 접속에 사용한 PC 및 휴대폰이 악성 앱에 감염되는 등의 2차 피해가 발생할 우려가 있어 주의가 필요하다고 덧붙였다. 이에 대해 한국인터넷진흥원과 과기정통부는 2차 인증을 설정해 개인 보안을 강화하고 출처가 불분명한 사이트 접속을 자제할 것을 권고했다. 사진 출처 : 한국인터넷진흥원 출처 [1] 한국인터넷진흥원 (2023.07.20) – KISA-..

정보를 탈취하는 Meduza 스틸러 발견

보안 업체 Uptycs는 텔레그램과 다크웹 포럼에서 판매 중인 정보 탈취 악성코드 "Meduza"를 발견했다. “Meduza”는 사용자 PC에서 시스템, 브라우저 및 암호화폐 지갑 등의 정보를 수집해 공격자의 서버로 전송한다. 해당 악성코드는 사전에 러시아를 포함한 10개의 국가를 공격 대상 제외 목록으로 만들어 실행을 제한한다. 또한, 공격 과정에서 공격자의 서버와 통신이 안되면 즉시 실행을 종료해 행위 추적이 어렵게 만든다. Uptycs 측은 기능이 계속 추가되는 구독형 서비스임을 강조하며, 운영체제 및 브라우저 등을 정기적으로 보안 업데이트할 것을 권고했다. 사진 출처 : Uptycs 출처 [1] Uptycs (2023.06.30) – Meduza Stealer: What Is It & How Do..

파일 관리 앱으로 위장한 스파이웨어

구글 플레이 스토어에서 파일 관리 앱으로 위장해 사용자의 정보를 탈취하는 앱이 발견됐다. 보안 업체 Pradeo는 “File Recovery & Data Recovery”와 “File Manager”로 등록된 2종의 스파이웨어 앱을 총합 150만 명 이상이 사용했다고 전했다. 또한, 해당 앱을 설치하면 사용자가 앱을 삭제하지 못하도록 아이콘을 숨기고, 연락처 목록과 위치 등의 개인정보를 수집해 공격자의 C&C 서버로 전송한다고 덧붙였다. Pradeo 측은 수집한 데이터가 주로 중국으로 유출된다고 언급하며 앱 사용에 필요한 권한은 주의 깊게 읽은 후 수락할 것을 권고했다. 직접 확인해 본 결과 해당 앱 2종은 구글 플레이 스토어에서 삭제돼 검색되지 않았다. 사진 출처 : Pradeo 출처 [1] Prede..

새로운 ZIP 도메인 출시와 보안 위협에 대한 논의

최근, Google Registry에서 웹사이트 또는 이메일 주소 호스팅에 사용할 수 있는 8개의 최상위 도메인을 도입했다. 추가된 도메인에는 .dad, .phd, .prof, .esq, .foo, .zip, .mov 및 .nexus 등이 있고 현재 모두 사용할 수 있다. 이 중 .zip, .mov 등의 도메인은 파일의 확장자로도 사용되므로 파일명과 URL이 혼재되어 발생할 위험에 대한 우려가 제기되고 있다. 보안 업체 Silent Push Labs는 microsoft-office[.]zip과 같이 Microsoft로 위장한 피싱 사이트 제작에 .zip 도메인이 악용되는 사례를 발견했으며, 보안 연구원 Rauch는 Github에서 파일 다운로드 링크로 위장해 .zip 도메인을 갖는 피싱 사이트로 접속을 ..

Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 Greatness

최근, Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 "Greatness"를 사용한 공격이 급증하고 있다. Cisco Talos의 조사에 따르면, 해당 도구를 사용하는 공격자는 HTML 파일을 첨부한 피싱 메일을 발송해 공격을 시도한다. 사용자가 첨부 파일을 실행하면 Microsoft 365 로그인 페이지로 위장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 또한, 로그인 과정에서 MFA 인증이 사용될 경우, 음성 통화 또는 SMS 코드 등 실제 Microsoft 365 페이지에서 요청한 MFA 방법을 사용해 사용자에게 인증을 요구한다. 해당 페이지를 통해 사용자가 로그인을 시도하면, 입력한 계정 정보를 탈취해 텔레그램 봇을 통해 공격자에게 전송한다. 사진출처 : C..