최신 보안 동향 452

Chrome에 저장된 정보를 탈취하는 Qilin 랜섬웨어

“Qilin” 랜섬웨어 조직이 Chrome 브라우저에 저장된 자격 증명을 탈취한 정황이 발견됐다. 보안 업체 Sophos 측은 “Qilin” 조직이 다중 인증(MFA)을 사용하지 않는 VPN 포털을 통해 내부로 침투한다고 설명했다. 이후, 18일간의 휴면 상태를 거쳐 도메인 컨트롤러로 이동하며, 기본 도메인 정책을 편집해 로그온 기반의 그룹 정책 개체(GPO)를 추가한다고 전했다. 해당 개체는 Chrome 브라우저에 저장된 자격 증명을 탈취할 PowerShell 스크립트와 이를 실행할 배치 스크립트를 포함한다고 덧붙였다. 한편, 공격자는 수집한 정보를 탈취한 후에도 도메인 컨트롤러와 이벤트 로그에서 흔적을 지운 후에 시스템 암호화와 랜섬노트 생성 등의 공격을 이어간 것으로 알려졌다. 이에 대해 Sopho..

악성 광고 캠페인을 통해 배포되는 FakeBat 로더

보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다. Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 ..

백도어를 배포하는 EastWind 피싱 캠페인 발견

러시아 사이버 보안 회사인 Kaspersky에 따르면 최근 러시아 정부와 IT 기관을 표적으로 하는 EastWind라는 코드명의 스피어 피싱 캠페인을 발견했다고 보고했다. 공격은 Windows 바로가기(LNK) 파일을 포함하는 RAR 압축 첨부 파일을 사용하며, 사용자가 해당 파일을 열면 악성 백도어가 배포된다. 이때 배포되는 백도어에는 GrewApacha와 CloudSorcerer 백도어의 업데이트 버전, 그리고 이전에 문서화되지 않은 PlugY라는 맬웨어가 포함된다. 그 중 GrewApacha는 공격자가 제어하는 GitHub 프로필을 통해 C&C 서버와 통신한다는 특징이 있다. 또한, CloudSorcerer는 클라우드 인프라를 통해 사용자 장치 모니터링, 데이터 수집 및 유출에 사용되며, PlugY..

악성 브라우저 확장 프로그램을 유포한 캠페인

최근에 웹 브라우저의 악성 확장 프로그램을 유포해 사용자의 시스템을 공격한 캠페인이 발견됐다. 보안 업체 ReasonLabs 측은 Google 검색 결과에 나오는 악성 광고에서 캠페인이 시작된다고 전했다. 공격자는 사용자가 해당 광고로 접속하면 가짜 다운로드 사이트로 연결해 잘 알려진 소프트웨어의 설치 프로그램을 다운로드하도록 유도한다. 사용자가 설치 프로그램을 실행하면 원하던 소프트웨어가 아닌 PowerShell 스크립트가 실행되면서 공격자의 원격 서버에서 악성 페이로드가 다운로드 된다. 이후, 주기적으로 스크립트를 실행해 추가 페이로드를 설치하도록 스케줄을 설정하고 레지스트리 값을 수정해 웹 브라우저 확장 프로그램을 설치한다. 이때 설치된 확장 프로그램은 사용자의 검색 쿼리를 하이재킹해 악성 광고 페..

한국인터넷진흥원을 사칭한 피싱 메일 주의

최근에 한국인터넷진흥원을 사칭한 피싱 메일이 유포되는 정황이 발견됐다. 사용자는 한국인터넷진흥원으로 표시된 발신자로부터 자신의 계정으로 스팸 메일이 발송됐다는 내용의 메일을 수신하게 된다고 알려졌다. 하지만 실제로 발신자의 이메일 주소는 한국인터넷진흥원의 주소(kisa.or.kr, krcert.or.kr)와 다른 것으로 전해졌다. 또한, 메일에는 계정이 노출됐다고 언급하면서 “비밀번호 변경” 링크로 접속하도록 유도하는데, 실제로는 공격자가 준비한 피싱 사이트로 연결된다는 사실이 밝혀졌다. 이에 대해 한국인터넷진흥원 측은 메일 수신 시에 발신자 정보를 정확히 확인하고, 이메일에 연결된 사이트 주소가 정상 사이트 주소와 일치하는지 확인할 것을 당부했다. 출처[1] 한국인터넷진흥원 (2024.08.07) – ..

Chameleon 안드로이드 뱅킹 트로이 목마 변종 발견

최근 사이버 보안 연구원들이 Chameleon 안드로이드 뱅킹 트로이 목마의 새로운 기술을 발견했다. 보안 업체 ThreatFabric은 Chameleon이 고객 관계 관리(CRM) 앱으로 위장해 캐나다 레스토랑 체인을 표적으로 삼고있다고 밝혔다. 해당 앱은 설치되면 CRM 앱의 가짜 로그인 페이지를 표시한 다음 사용자에게 앱을 다시 설치하라고 요청하는 오류 메시지를 표시하지만, 실제로는 Chameleon 페이로드를 배포한다. 이후 Chameleon이 배포되면 백그라운드에서 키로깅을 사용해 사용자의 자격 증명, 연락처 목록 및 지리적 위치 정보 등을 수집하고, 최종적으로 은행 계좌에 접근해 금융 데이터를 훔친다. 외신은 이를 통해 공격자가 민감한 은행 정보와 손상된 기계 정보를 사용해 기타 관련 데이터를..

랜섬웨어 조직이 악용하는 ESXi 인증 우회 취약점

최근, 랜섬웨어 조직에서 ESXi 인증 우회 취약점을 악용하는 정황이 발견됐다. Microsoft 측은 CVE-2024-37085로 번호가 매겨진 ESXi 하이퍼바이저 인증 우회 취약점에 대한 보고서를 공개했다. 공격자가 해당 취약점으로 “ESX Admins” 그룹과 사용자를 생성하면, ESXi 하이퍼바이저의 모든 관리 권한을 획득할 수 있다고 언급했다. 또한, 현재까지 “Akira”와 “BlackBasta” 조직에서 해당 취약점을 공격에 사용한 정황이 발견됐다고 덧붙였다. 이에 대해 VMware에서 발표한 보안 업데이트 적용을 권장하며 조직의 네트워크를 보호하는 지침을 안내했다. 한편, CISA 측은 알려진 악용 취약점 카탈로그에 CVE-2024-37085를 추가했으며, 악의적인 공격 경로로 사용될 가..

독일 기관을 표적으로 하는 새로운 피싱 캠페인 발견

최근 독일 법인을 사칭한 웹사이트를 통해 가짜 CrowdStrike Crash Reporter 설치 프로그램을 배포했다고 밝혔다. 보안 업체 CrowdStrike는 사용자가 다운로드 버튼을 클릭하면 악성 InnoSetup 설치 프로그램이 포함된 ZIP 아카이브 파일을 다운로드한다고 말했다. 설치를 시작하면 백엔드 서버를 입력하라는 메세지가 보이고 특정 입력을 하지 못하면 오류 메세지가 표시되어 설치가 완료되지 않는다. 이로 인해 설치 프로그램 콘텐츠를 암호화하고, 암호 없이 추가 활동이 발생하지 않도록 해 추가 분석이 불가능하도록 만들었다고 덧붙였다. 또한, 독일어 프롬프트가 사용된 것으로 보아 독일어를 사용하는 CrowdStrike 고객만을 타겟으로 삼고 있음을 추측할 수 있다고 전했다. 최종적으로 프..

암호화폐 채굴 게임을 악용한 사이버 공격

암호화폐 채굴 게임으로 알려진 Hamster Kombat을 악용한 사이버 공격 사례가 여럿 발견됐다. 보안 업체 ESET 측은 Hamster Kombat이 텔레그램 채널에서 공유되는 게임이라고 설명했다. 유포 경로를 악용한 공격자가 텔레그램 채널을 개설해 해당 게임으로 위장한 안드로이드 스파이웨어 “Ratel”을 배포한 정황이 알려졌다. 또한, 해당 게임을 설치할 수 있다고 속여 사용자에게 원치 않는 광고를 보여주는 가짜 앱 스토어 사이트도 발견됐다. 이 외에도 GitHub 저장소를 이용해 “Lumma Stealer”를 윈도우 환경에서 게임을 자동화로 실행할 수 있는 도구라고 소개하면서 유포한 사례가 전해졌다. 이에 대해 ESET 측은 Hamster Kombat 게임이 인기가 많아 앞으로도 사이버 공격에..

CrowdStrike 사의 최신 패치 문제를 악용한 사이버 공격

보안 업체 CrowdStrike 사에서 윈도우 호스트용 Falcon 업데이트 파일에 결함이 발견돼 급히 공지했다. 한국인터넷진흥원 측은 Falcon 제품군의 윈도우용 최신 패치를 적용할 경우 윈도우 시스템이 비정상 종료되는 문제가 발생한다고 전했다. 이후, 해당 문제를 악용한 사이버 공격 시도가 해외에서 발생하고 있어 추가로 알렸다. 첫 번째 공격 사례는 최신 패치를 적용한 후에 발생하는 문제를 복구해준다며 악성코드를 유포하는 것으로 전해졌다. 두 번째는 CrowdStrike 사의 지원을 받는다고 위장한 후 피싱 메일을 발송해 개인정보를 입력하도록 유도하는 공격으로 알려졌다. 이번 문제에 대해 CrowdStrike 측은 인터넷을 연결한 호스트를 재부팅한 후 결함이 발견된 채널 파일을 업데이트하는 방법을 ..