최신 보안 동향 353

Discord를 C&C 서버로 사용하는 ApolloRat 악성코드

최근, 미국의 보안 업체 Cyble에서 Discord를 C&C 서버로 사용하는 악성코드를 발견했다. 해당 악성코드는 "ApolloRAT"라고 불리며, 텔레그램을 통해 판매되고 있다. 이 악성코드가 실행될 경우 C&C Discord 서버와 통신하며, 공격자가 입력하는 명령어를 통해 피해자의 파일 다운로드와 브라우저 기록 수집 등의 악성 행위를 시도한다. 또한, Python으로 작성된 “ApolloRAT”는 Nuitka를 통해 C로 컴파일하는데, 이때 파일 크기가 급격히 증가하여 분석을 어렵게 한다고 알려졌다. 사진출처 : Cyble 출처 [1] Cyble (2022.07.14) – ApolloRat: Evasive Malware Compiled Using Nuitka https://blog.cyble.co..

YouTube에서 유포되는 PennyWise 악성코드

최근 미국의 보안 업체 Cyble에서 "PennyWise"라는 새로운 악성코드를 발견하고 분석 보고서를 발표했다. 해당 악성코드는 비트코인 채굴 소프트웨어로 위장하고 있으며, 다운로드 링크가 포함된 YouTube 동영상 페이지를 통해 유포된다. 이 악성코드가 실행될 경우 피해자의 암호 화폐 지갑 정보와 브라우저 쿠키를 수집해 공격자 C&C 서버로 전송한다. Cyble은 암호를 주기적으로 업데이트하고 확인되지 않은 사이트에서 불법 복제 소프트웨어를 다운로드하지 않을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.06.30) – PennyWise Stealer: An Evasive Infostealer Leveraging YouTube To Infect Users https://b..

BBVA 은행 계좌를 표적으로 하는 Revive 악성코드

최근 이탈리아의 사이버 보안 업체 Cleafy가 스페인의 BBVA 은행 계좌를 표적으로 하는 "Revive"악성코드 분석 보고서를 발표했다. 해당 악성코드는 BBVA 은행 계좌에 로그인하는 데 필요한 2FA(2단계 인증) 앱을 사칭해 다운로드를 유도한다. 피해자의 시스템에 "Revive"가 설치되면, 백그라운드에서 키로거로 작동해 장치에 입력하는 모든 것을 기록하고 주기적으로 C2에 전송한다. 또한, Cleafy는 "Revive"가 오픈 소스 스파이웨어 "Teardroid"와 API, 웹 프레임워크 및 기능에서 유사점을 보인다고 언급했다. 사진 출처 : Cleafy 출처 [1] Cleafy (2022.06.28) - Revive: from spyware to Android banking trojan ht..

Apple의 M1 CPU에서 발견된 PACMAN 취약점

최근, MIT의 연구원들이 Apple 사의 M1 CPU에서 발생하는 취약점을 발견하고 분석 보고서를 발표했다. 해당 연구원들에 따르면 이 취약점은 "PACMAN"이라고 불리며 Apple M1 CPU 에서 포인터 인증(PAC)을 우회할 수 있는 하드웨어 공격이라고 알려졌다. 또한, 공격자들이 악용할 경우 M1 CPU를 사용하는 시스템에서 임의의 코드를 실행할 수 있다고 알렸다. Apple은 “이 취약점이 사용자에게 즉시 위험을 초래하지 않으며, 운영체제 보안을 우회하기에 충분하지 않다."라고 언급했다. 출처 [1] Packman Attack (2022.06.09) – PACMAN Attacking ARM Pointer Authentication with Speculative Execution https:/..

피싱 메일 주의

최근, 실제 기업을 사칭한 인보이스 메일을 통해 Microsoft Outlook 계정 비밀번호 입력을 유도하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 "Invoice F12996554 - FRI 10/6"이라는 제목으로 유포되며, 호주의 온라인 식품 도매 플랫폼 F사를 사칭해 첨부파일 실행을 유도한다. 메일 하단의 기업 로고를 클릭하면 실제 해당 업체의 웹페이지로 리디렉션되기 때문에 사용자들로 하여금 피싱 메일이라는 의심을 피할 수 있다 만약 사용자가 첨부된 파일을 다운로드해 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 한다. 이때, 이메일 주소 필드에는 수신인을 타깃으로 미리 입력되어 있기 때문에 사용자들은 무..

PDF 파일을 통해 유포되는 Snake Keylogger 악성코드

최근, PDF 파일을 통해 유포되는 "Snake Keylogger"악성코드 캠페인이 발표됐다. HP사의 보안 연구원에 따르면 이 악성코드는 내부에 악성 docx 파일을 숨기고 있는 PDF 파일을 통해 유포된다고 알려졌다. 이 PDF 파일을 Adobe Reader로 실행할 경우 내부에 포함된 악성 docx 파일 실행을 요청하는 메시지 박스를 띄우는데, 해당 악성 파일의 이름에 "has been verified"라는 문장이 포함되어 있어 사용자들로 하여금 의심을 피하고 실행을 유도한다. 또한, docx 파일 안의 매크로는 CVE-2017-11882 취약점을 이용하는 악성 .rtf 파일을 다운로드해 "Snake Keylogger"를 설치하고 악성 동작을 수행한다. 사진출처 : HP Threat Research..

Trend Micro 랜섬웨어 보호 기능을 중단하는 Windows 업데이트

최근, 일본의 사이버 보안 업체 Trend Micro가 자사 제품의 구성 요소와 Windows 11 KB5014019 보안 업데이트 버전과의 호환성 문제에 대해 발표했다. 해당 업체는 Windows 11 KB5014019 보안 업데이트를 적용 후 시스템을 재부팅하면 자사 보안 제품의 구성 요소 중 일부가 중지되는 문제가 발생한다고 알렸다. 해당 요소는 Trend Micro의 엔드포인트 및 서버 보호 제품에서 랜섬웨어 보호와 같은 일부 고급 기능을 담당한다고 알려졌다. 이에 대해 Trend Micro는 Windows 패치를 이미 적용한 고객은 패치를 일시적으로 제거하거나 오류가 발생한 모듈에 대한 추가 지원을 요청할 수 있다고 언급했다. 출처 [1] Trend Micro (2022.05.30) - ADVI..

클릭재킹을 허용하는 PayPal 취약점

최근, 한 보안 연구원이 PayPal의 송금 서비스에서 클릭재킹을 허용해 사용자의 계정에서 돈을 훔칠 수 있는 취약점을 발표했다. 클릭재킹은 악의적인 목적을 위해 무해해 보이는 웹 페이지 요소를 클릭하도록 속이는 기술로, 해당 취약점은 표시되는 페이지 위에 보이지 않는 페이지나 HTML 요소를 표시해 사용자가 합법적인 페이지 위에 겹쳐진 악성 요소를 클릭하게 한다. 또한, 보안 연구원은 해당 취약점이 청구 계약을 위해 설계된 엔드포인트에서 정해진 토큰 이외의 다른 유형의 토큰을 전달해 발생한다고 알렸다. 사진 출처 : h4x0r_dz 출처 [1] h4x0r_dz (2022.05.22) - Vulnerability In PayPal worth 200000$ bounty, Attacker can Steal ..

챗봇 형식의 웹 애플리케이션을 이용하는 피싱 공격

최근, 보안 업체 Trustwave의 연구원이 챗봇 형식의 웹 애플리케이션을 이용하는 피싱 캠페인에 대해 발표했다. Trustwave에 따르면 해당 피싱 캠페인은 물류 업체 DHL로 위장해 피싱 링크를 포함하는 PDF 파일 실행을 유도한다. 이후, 피해자가 해당 링크에 접속하면 챗봇 형식의 대화형 웹 애플리케이션을 이용해 배송받을 택배에 문제가 생겼음을 알리고 개인 정보 및 신용카드 정보 탈취를 시도한다. Trustwave는 해당 웹 애플리케이션이 여전히 활성화되어 있지만 새로 등록된 도메인을 사용하고 있다고 덧붙이며, 사용자들의 주의가 필요하다고 언급했다. 사진 출처 : Trustwave 출처 [1] Trustwave (2022.05.19) - Interactive Phishing: Using Chat..

Windows 11 설치 파일로 위장한 Vidar 악성코드

최근, 미국의 클라우드 보안 업체 Zscaler가 Windows 11 설치 파일로 위장한 "Vidar"악성코드 캠페인을 발표했다. 해당 업체에 따르면 "Vidar"악성코드가 Windows 11 설치 파일로 위장한 ISO 파일에 포함되어 있으며 Windows 11 다운로드 페이지로 가장한 사이트에서 유포된다고 알려졌다. 또한, 이 악성코드는 보안 솔루션 탐지를 피하기 위해 300MB 이상의 크기로 만들어졌으며 Avast사의 만료된 인증서로 서명되어 있다고 알렸다. Zscaler는 인터넷에서 소프트웨어 다운로드를 주의하고 공식 사이트에서만 소프트웨어를 다운로드할 것을 권고했다. 사진출처 : Zscaler 출처 [1] Zscaler (2022.05.19) – Vidar distributed through ba..