최신 보안 동향 353

SMS를 통해 다시 확산되는 FluBot 악성 앱

최근, NCSC-FI(핀란드 국가 사이버 보안 센터)에서 "FluBot" 악성 앱 캠페인을 발표했다. 해당 기관에 따르면 "FluBot"이 음성 메일과 소포 배달에 관련된 내용의 SMS를 통해 유포되었으며, 이 악성 앱에 감염될 경우 사용자의 데이터를 탈취하고 확산을 위해 다른 디바이스로 악성 SMS를 전송한다. NCSC-FI는 해당 악성 앱을 설치했을 경우 공장 초기화를 통해 디바이스를 복구할 것을 권고했다. 사진출처 : NCSC-FI 출처 [1] NCSC-FI (2022.05.10) – ​FluBot-haittaohjelmaa levitetään jälleen tekstiviestitse https://www.kyberturvallisuuskeskus.fi/fi/varoitus_1/2022

피싱 메일 주의

팩스 수신 확인 위장 피싱 메일 주의! 최근, 팩스 수신 확인을 위장해 Microsoft 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 "IncomingFaxDocument from ○○○○○"이라는 제목으로 유포되며, 수신한 팩스를 확인하기 위해 메일에 첨부된 하이퍼링크를 클릭할 것을 유도하고 있다. 메일에 첨부된 링크를 클릭하면 가짜 팩스 정보를 포함하는 또 다른 웹페이지로 리디렉션된다. 해당 페이지에는 팩스 수신 날짜, 문서 매수 및 타입에 대한 정보가 상세하게 적혀있어 사용자들로 하여금 가짜 팩스 문서라는 의심을 피하고 문서를 확인하도록 유도한다. 해당 페이지에서 “VIEW OR PRINT DOCUMENT” 버튼을 클릭하면 Microsoft 계정 입력을 유도..

가짜 NFT 판매 사이트를 호스팅 하는 고급 스포츠카 제조업체 서브도메인

최근 한 보안 연구원이 고급 스포츠카 제조업체 Ferrari의 서브도메인 중 하나가 가짜 NFT 판매 사이트를 호스팅 한다고 알렸다. 보안 연구원은 공격자가 Adobe Experience Manager 취약점을 악용해 해당 서브도메인을 해킹했으며, 도메인 방문자에게 가짜 NFT 아이템을 구매하도록 유도한다고 알렸다. 외신은 Ferrari가 작년, NFT 아이템을 출시할 계획을 발표한 바 있어 설득력을 더했으며 공격자는 해당 사기로 800달러 이상의 자금을 모았다고 전했다. 또한 외신은 현재 해당 서브도메인이 중단된 상태이며 접속 시 HTTP 403 오류 코드가 표시된다고 언급했다. 사진 출처 : Twitter 출처 [1] BleepingComputer (2022.05.06) - Ferrari subdom..

피싱 메일 주의!

인보이스를 사칭한 피싱 메일 주의! 인보이스 사칭 피싱 메일은 해외 거래를 할 때 사용하는 송장 정보인 '인보이스'를 사칭해 사용자를 속이는 기법으로, 지속적으로 사용되어 왔다. 최근 이런 인보이스 사칭을 통한 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 "Invoice H723."라는 제목으로 유포되며, 인보이스를 확인해 달라는 내용으로 첨부파일 실행을 유도하고 있다. 첨부된 파일을 실행할 경우 Microsoft 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 유도한다. 그 후, 패스워드를 입력하면 잘못된 비밀번호라는 문구와 함께 다시 입력할 것을 요청한다. 이러한 피싱 메일로 인한 피해를 예방하기 위해서는 발신자의 이름 및 주소 등을 주의 깊게 확인하고, ..

다양한 악성코드 변종을 사용하는 러시아 해커 그룹

최근, 사이버 보안 업체 Symantec이 Shuckworm(Gamaredon, Armageddon)이라고 불리는 러시아 국영 해커 그룹의 공격에 대한 보고서를 발표했다. 해당 업체는 최근 Shuckworm 해커 그룹이 우크라이나를 공격하기 위해 Pteredo 백도어의 다양한 변종을 사용하고 있다고 알렸다. 발견된 Pteredo 백도어 변종은 모두 유사한 기능을 가진 VBS 드로퍼로, 예약된 작업을 사용해 지속성을 유지하고 C2 서버에서 추가 코드를 다운로드한다. 또한, Symantec은 해당 악성코드가 감염된 컴퓨터에서의 지속성을 유지하기 위해 각각 다른 C2 서버와 통신한다고 언급했다. 출처 [1] Symantec Enterprise Blogs (2022.04.20) - Shuckworm: Espio..

AWS Lambda를 표적으로 하는 Denonia 악성코드

최근, 영국의 보안 업체 Cado Security가 AWS Lambda 서비스에서 실행되는 "Denonia" 악성코드를 발견했다고 발표했다. 해당 업체는 "Denonia"가 서버를 직접 관리하지 않고 코드를 실행할 수 있는 서비스인 AWS Lambda 환경에서 실행되도록 설계된 최초의 악성코드라고 알렸다. 외신에 따르면 이 악성코드를 실행할 경우 XMRig라는 소프트웨어를 통해 Monero 암호화폐 채굴을 시도한다고 알렸다. Cado Security는 아직 해당 악성코드의 유포 방법을 확인하지 못했지만 손상된 AWS 액세스 및 비밀키를 사용했을 것으로 추정한다고 언급했다. 출처 [1] Tech Republic(2022.04.08) – ​AWS Lambda sees its first malware atta..

Spring Framework에서 발견된 Spring4Shell 취약점

최근, 웹 애플리케이션 개발 프레임워크인 Spring에서 CVE-2022-22965 취약점이 발견됐다. 해당 취약점은 "Spring4Shell" 이라고 불리며 JDK 9 버전 이상에서 실행되는 Spring MVC 또는 Spring WebFlux 애플리케이션에서 데이터 바인딩을 통한 원격 코드 실행 취약점으로 밝혀졌다. 또한, 이 취약점의 영향을 받는 버전은 JDK 9 이상 버전을 사용하는 Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전이며 JDK 8 이하 버전을 사용하는 경우 영향을 받지 않는다고 알려졌다. KISA는 해당 취약점이 해결된 Spring Framework 5.3.18 및 5.2.20 버전으로 업데이트 할 것을 권고했다. 출처 [1] KIS..

WhatsApp의 음성 메시지 알림을 가장한 피싱 메일

최근, 보안 업체 Armoblox의 연구원이 WhatsApp의 음성 메시지 알림을 가장한 피싱 메일을 발견했다. 해당 메일은 "New Incoming Voicemessage"라는 제목으로 유포되며, 본문에는 음성 메시지 재생 버튼과 재생 및 생성 시간에 대한 정보가 포함돼있다. 피싱 메일을 발견한 보안 업체는 수신자가 이메일에 포함된 재생 버튼을 클릭하면, "JS/Kryptik" 악성코드 설치를 시도하는 페이지로 리디렉션된다고 알렸다. Armoblox는 이러한 피해를 방지하기 위해 이메일 발신자의 이름 및 주소 등을 주의 깊게 확인할 것을 권고했다. 사진 출처 : Armorblox 출처 [1] Armorblox (2022.04.04) - Leave your Message after the Beep: Wh..

해커 포럼에서 판매중인 BlackGuard 악성코드

최근, 미국의 보안 업체 Zscaler가 해커 포럼에서 판매되고 있는 "BlackGuard" 악성코드 분석 보고서를 발표했다. 해당 업체는 "BlackGuard" 악성코드가 다양한 브라우저나 암호화폐 지갑 등에서 민감한 정보를 훔치는 정보 탈취형 악성코드라고 알렸다. 또한, 해당 악성코드는 훔친 정보를 .zip 파일에 압축하고, 하드웨어 ID 및 국가 등의 시스템 정보와 함께 C2 서버로 전송한다고 언급했다. Zscaler는 이러한 피해를 예방하기 위해 의심스러운 사이트 방문을 피하고, 확인되지 않은 파일을 다운로드하지 않을 것을 권고했다. 출처 [1] Zscaler (2022.03.30) - Analysis of BlackGuard - a new info stealer malware being sold..

인도 정부와 군대를 대상으로 하는 APT 캠페인

최근, 미국의 네트워크 장비 제조 업체 Cisco가 인도 정부와 군대를 대상으로 하는 APT 캠페인을 발표했다. 해당 업체에 따르면 공격자가 다단계 인증 프로그램으로 위장한 "Crimson RAT" 악성코드를 인도 정부기관을 사칭한 사이트를 통해 유포했다고 알려졌다. 또한, 이 프로그램을 실행할 경우 해당 악성코드를 설치해 화면 스크린샷과 시스템 정보 등의 데이터를 공격자 C&C서버에 전송한다고 알렸다. Cisco는 이번 캠페인의 배후로 파키스탄의 Transparent Tribe APT 그룹을 예상하고 있다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco talosintelligence (2022.03.29) – Transparent Tribe campaign uses n..