최신 보안 동향 320

악성코드 서명에 사용된 NVIDIA의 서명 인증서

최근, 미국의 GPU 제조 업체 NVIDIA에서 유출된 서명 인증서가 악용되고 있다. 외신에 따르면 해킹 그룹 Lapsus$의 사이버 공격으로 유출된 NVIDIA의 서명 인증서가 Cobalt Strike beacon과 Mimikatz 등의 백도어 및 해킹 도구 서명에 사용됐다고 밝혀졌다. 또한, 공격자가 이러한 서명 인증서를 사용해 악성코드를 NVIDIA 프로그램으로 위장할 수 있으며 Windows에서 악성 드라이버를 로드 할 수 있다고 알렸다. 보안 전문가는 WDAC(Windows Defender Application Control) 정책 설정을 통해 취약한 드라이버 로드를 방지해야 한다고 권고했다. 사진출처 : Virustotal 출처 [1] Bleepingcomputer (2022.03.05) – ..

Google 인증 코드를 훔치는 Escobar 악성 앱

최근, 호주의 보안 업체 Cyble이 "Escobar" 악성 앱 분석 보고서를 발표했다. 해당 보고서에 따르면 "Escobar"는 미국의 보안 업체 McAfee의 앱으로 위장하고 있으며 Google Play Store 이외의 경로에서 유포된다고 알려졌다. 또한, "Escobar"가 설치될 경우 Google 인증 코드 탈취와 화면 제어 등의 악성 행위를 시도하며 통화 기록과 연락처 등의 개인정보를 수집해 C&C 서버에 업로드 한다고 밝혀졌다. Cyble은 SMS나 이메일을 통해 수신된 링크 접속을 주의하고 Google Play Store와 IOS App Store 같은 공식 스토어를 통해 앱을 다운로드 받을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.03.10) – Abere..

러시아 방산업체 Rostec을 노린 DDoS 공격

최근 외신은 러시아의 방산업체 Rostec이 DDoS 공격을 받아 웹사이트를 일시 폐쇄했다고 알렸다. 피해 업체는 외신을 통해 당사가 2월 말부터 지속적인 해커의 공격을 받고 있다고 전했으며, 공격의 배후가 우크라이나의 급진 세력이라고 언급했다. 한편, Rostec의 여러 도메인과 리소스는 IT Army of Ukraine에 의해 DDoS 공격 대상으로 지정된 바 있다. 사진 출처 : IT Army of Ukraine 출처 [1] Bleepingcomputer (2022.03.11) - Russian defense firm Rostec shuts down website after DDoS attack https://www.bleepingcomputer.com/news/security/russian-def..

다시 유행하고 있는 Qakbot 악성코드

최근, 영국의 보안 업체 Sophos가 "Qakbot" 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "Qakbot"은 다른 피해자의 메일에서 지인과 주고 받은 메일 중간에 악성 메일을 회신하는 방법으로 유포된다고 알려졌다. 회신 메일에는 악성 Excel 파일을 포함하고 있는 "eum.zip" 파일 다운로드 링크가 있으며 해당 Excel 파일을 실행할 경우 악성 매크로를 통해 “Qakbot”을 다운로드한다. 또한, 설치된 "Qakbot"은 시스템 데이터 수집과 공개 IP 검색 등의 악성 행위를 시도하고 ARP스캔을 통해 다른 시스템으로의 이동 방법을 찾는다고 밝혀졌다. 사진출처 : Sophos 출처 [1] Sophos (2022.03.10) – Qakbot injects itself into t..

미국 주 정부기관을 대상으로 하는 해킹 그룹 APT41

최근, 보안 업체 Mandiant는 중국의 해킹 그룹 APT41이 지난해 5월부터 최소 6개의 미국 주 정부기관 네트워크에 침투한 사실을 발표했다. Mandiant에 따르면, APT41은 주로 ASP.NET 역직렬화 공격을 이용했으며, 미국 농업 종사자들을 위한 앱 USAHerds의 제로데이 취약점 또한 이용했다고 알렸다. 또한, 해당 보안 업체는 공격자들이 개인 식별 정보(PII)를 유출하는 정황을 관찰했지만, 그것을 최종적인 공격의 목표로 보기는 어렵다고 언급했다. 출처 [1] Mandiant (2022.03.08) - Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments https://www.mandiant.com/..

400대 이상의 러시아 CCTV를 해킹한 어나니머스 그룹

최근, 핵티비스트 그룹 어나니머스가 우크라이나를 지원하기 위해 400대 이상의 러시아 CCTV를 해킹했다. 외신에 따르면 해킹된 CCTV는 레스토랑, 사무실, 학교 등의 다양한 장소에 위치해 있으며, CCTV의 라이브 화면은 웹사이트를 통해 공유됐다. 또한 외신은 어나니머스가 CCTV의 라이브 화면 위에 러시아의 침략 행위를 설명하는 텍스트를 덧붙여 공유했다고 언급했다. 사진 출처 : SecurityAffairs 출처 [1] SecurityAffairs (2022.03.09) - Anonymous hacked Russian cams, websites, announced a clamorous leak https://securityaffairs.co/wordpress/128847/hacktivism/anon..

Middlebox를 이용한 새로운 DDoS 공격 발견

최근, 미국의 클라우드 업체 Akamai가 TCP Middlebox Reflection 라는 새로운 기술을 이용한 DDoS 공격을 탐지했다고 발표했다. Akamai는 해당 공격이 방화벽과 IDS같은 Middlebox(네트워크 트래픽 검사 및 필터링 장치)를 이용한 DRDoS 공격이며 응답 트래픽을 65배 증폭시킬 수 있다고 언급했다. 또한, 공격자들이 Middlebox에서 차단된 도메인을 Host Header로 사용해 다양한 TCP 패킷을 생성하고 Middlebox로 전송해 대량의 응답 트래픽이 피해자의 시스템으로 향하도록 만들었다고 알렸다. 해당 업체는 Snort나 방화벽 ACL(Access Control List)의 규칙 설정을 통해 TCP Middlebox Reflection 공격을 차단해야 한다고..

국내 대기업 사이버 공격 사건, 정보 유출 주의

최근 국내 대기업이 사이버 공격을 받아 피해 업체의 내부 자료가 유출됐다. 피해 업체를 공격한 것으로 알려진 해외 해커 조직 LAPSUS$는 탈취한 데이터 약 190GB를 파일 공유 프로그램인 토렌트에 업로드하며 자신들이 공격했다고 주장했다. 해커가 공개한 데이터에는 [그림 2]와 같이 피해 업체에서 사용하는 다수의 소스 코드 등 내부 데이터가 확인됐다. 이번 사건과 관련해 국내 언론사는 피해 업체가 사내 공지를 통해 사이버 공격을 당한 사실을 인정했다는 내용을 전했다. 한편, 국정원 측은 이번 사건으로 유출된 정보를 확인한 결과 산업기술보호법상 국가핵심기술에는 해당되지 않는 것으로 파악하고 있다고 발표했다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 정보 유출의 문..

우크라이나의 정부기관과 은행을 노린 DDoS 공격

최근, 우크라이나의 정부기관과 은행이 대규모 DDoS 공격을 받았다. 우크라이나 특수통신정보보호국(SSSCIP)는 24일 발생한 대규모 DDoS 공격으로 일부 정부기관과 은행의 정보 시스템이 마비됐다고 알렸다. 현재, 해당 기관은 공격에 대한 정보를 수집 및 분석하고 있으며, SNS를 통해 현재 상황을 계속해서 업데이트 하겠다고 밝혔다. 또한, 사이버 공격을 받았거나 공격이 의심된다면 CERT-UA로 신고할 것을 권고했다. 사진출처 : Twitter 출처 [1] 우크라이나 특수통신정보보호국 (2022.02.24) – Чергова кібератака на сайти державних органів та банки https://cip.gov.ua/en/news/chergova-kiberataka-na-s..

미국 은행 Citibank를 대상으로 하는 피싱 캠페인

최근 미국의 은행 Citibank를 대상으로 하는 피싱 캠페인이 발견됐다. 외신에 따르면 공격자들이 Citibank를 사칭한 이메일을 전송해 피싱 사이트 접속을 유도한다고 알려졌다. 피싱 사이트에 로그인 할 경우 PIN, 주민등록증 사본과 같은 정보를 요구하며 입력한 모든 정보는 공격자에게 전송된다고 밝혀졌다. 보안 전문가는 메일 발신자 주소를 확인하고 이메일 본문에 포함된 버튼을 클릭하지 않을 것을 권고했다. 사진 출처 : BitDefender 출처 [1] BitDefender (2022.02.24) – Cybercrooks Phish for Login Credentials and Data of Citibank Customers in Ongoing Spam Campaigns https://www.bit..