잉카인터넷 시큐리티대응센터 블로그

구글 플레이 업데이트로 위장한 Antidot

최근 구글 플레이 업데이트로 위장해 유포되는 악성 안드로이드 앱 “Antidot”이 발견됐다. 해당 앱을 실행하면 “출처를 알 수 없는 앱 설치” 옵션의 활성화를 요청하고, 구글 플레이 업데이트로 위장한 추가 앱의 설치를 유도한다. 추가로 설치된 앱은 VNC(Virtual Network Computing)를 직접 구현해 감염된 단말기를 원격으로 제어하며, 오버레이 기술을 이용해 정보를 수집하고 공격자가 운영하는 C&C 서버로 정보를 전송한다. “Antidot”을 처음 실행하면 [그림 1]과 같이 구글 플레이 업데이트의 설치가 필요하다는 메시지를 띄우고, “출처를 알 수 없는 앱 설치” 옵션의 활성화를 요청한다. 사용자가 해당 옵션을 활성화하면 구글 플레이 업데이트로 위장한 추가 앱의 설치가 진행된다.  ..

암호화폐 채굴 게임을 악용한 사이버 공격

암호화폐 채굴 게임으로 알려진 Hamster Kombat을 악용한 사이버 공격 사례가 여럿 발견됐다. 보안 업체 ESET 측은 Hamster Kombat이 텔레그램 채널에서 공유되는 게임이라고 설명했다. 유포 경로를 악용한 공격자가 텔레그램 채널을 개설해 해당 게임으로 위장한 안드로이드 스파이웨어 “Ratel”을 배포한 정황이 알려졌다. 또한, 해당 게임을 설치할 수 있다고 속여 사용자에게 원치 않는 광고를 보여주는 가짜 앱 스토어 사이트도 발견됐다. 이 외에도 GitHub 저장소를 이용해 “Lumma Stealer”를 윈도우 환경에서 게임을 자동화로 실행할 수 있는 도구라고 소개하면서 유포한 사례가 전해졌다. 이에 대해 ESET 측은 Hamster Kombat 게임이 인기가 많아 앞으로도 사이버 공격에..

Microsoft 07월 정기 보안 업데이트 권고

개요Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다.   기술  해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5040427, KB5040430, KB5040431, KB5040434, KB5040437, KB5040438, KB5040442, KB5040448, KB5040456, KB5040485, KB5040490, KB5040497, KB5040498, KB5040499 참고자료https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21417https://msrc.microsoft.com/u..

CrowdStrike 사의 최신 패치 문제를 악용한 사이버 공격

보안 업체 CrowdStrike 사에서 윈도우 호스트용 Falcon 업데이트 파일에 결함이 발견돼 급히 공지했다. 한국인터넷진흥원 측은 Falcon 제품군의 윈도우용 최신 패치를 적용할 경우 윈도우 시스템이 비정상 종료되는 문제가 발생한다고 전했다. 이후, 해당 문제를 악용한 사이버 공격 시도가 해외에서 발생하고 있어 추가로 알렸다. 첫 번째 공격 사례는 최신 패치를 적용한 후에 발생하는 문제를 복구해준다며 악성코드를 유포하는 것으로 전해졌다. 두 번째는 CrowdStrike 사의 지원을 받는다고 위장한 후 피싱 메일을 발송해 개인정보를 입력하도록 유도하는 공격으로 알려졌다. 이번 문제에 대해 CrowdStrike 측은 인터넷을 연결한 호스트를 재부팅한 후 결함이 발견된 채널 파일을 업데이트하는 방법을 ..

예맨의 인도주의 단체를 표적으로 하는 OilAlpha 공격

후티 반군을 지지하는 위협 집단으로 의심되는 단체가 예멘에서 활동하는 인도주의 단체 최소 3곳을 공격했다고 밝혀졌다. 보안 업체 Recorded Future에 따르면, OilAlpha라고 불리는 위협 그룹이 CARE International, 노르웨이 난민 위원회(NRC), 사우디 아라비아 킹 살만 인도주의 지원 및 구호 센터를 대상으로 악성 안드로이드 설치 파일을 배포했다고 언급했다. 해당 악성 앱은 SpyNote 혹은 SpyMax라고도 불리는 트로이 목마를 설치하여 사용자의 카메라, 오디오 및 연락처 등에 대한 액세스를 포함한 권한을 요청해 민감 정보를 수집하려고 시도한다. 또한, 해당 단체들의 로그인 페이지를 사칭해 사용자를 리디렉션하고, 자격 증명을 입력하게 한 후 로그인 정보를 수집하는 등 사용..

1. 랜섬웨어 통계2024년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 18건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 4월과 1월에 가장 많이 발견됐다.   2024년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.  2024년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 34%로 가장 많았고, 모네로(XMR)를 요구하거나 랜섬..

개요Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco ISE 3.3P3- Cisco SSM On-Prem 8-202212- Cisco AsyncOS for Secure Web Appliance 14.5.3 MR, 15.2.0-164 참고자료https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-file-upload-krW2TxA9https://sec.cloudapps.cisco.com/security..

2분기 국가별 해커 그룹 동향 보고서  러시아2024년 2분기에는 러시아 정부를 배후에 둔 것으로 추정되는 Sandworm과 Vermin 해커 그룹의 공격 정황이 발견됐다. Sandworm 해커 그룹은 이전에 문서화된 악성코드를 새로운 악성코드와 결합해 공격에 사용했으며, Vermin 해커 그룹은 피싱 이메일로 악성코드를 유포한 것이 알려졌다.  SandwormSandworm은 BlackEnergy, Seashell Blizzard, Voodoo Bear 및 APT44로도 알려졌으며, 러시아의 총참모부(GRU)와 연관된 것으로 전해졌다.  우크라이나 컴퓨터 비상 대응팀(CERT-UA)에서 SandWorm 해커 그룹이 우크라이나의 중요 인프라 시설 약 20곳에 침입한 내용의 보고서를 공개했다. 해당 공격에..

1. 랜섬웨어 피해 사례2024년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙바스타(BlackBasta)와 블랙수트(BlackSuit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월에는 영국의 법률 사무소 TRUE Solicitors LLP가 블랙바스타의 공격을 받았고, 5월과 6월에는 미국의 연료 유통 업체 Atlas Oil과 일본의 미디어 출판 업체 KADOKAWA가 각각 블랙바스타와 블랙수트 랜섬웨어 공격을 받아 피해가 발생했다.    블랙바스타(BlackBasta) 랜섬웨어 피해 사례2024년 2분기에는 블랙바스타 랜섬웨어 조직이 의료 분야를 공격하고 있다는 소식이 전해졌다. 외신은 최근에 해당 조직이 16개의 중요 인프라 부문 중 최소 12개 부문..

1. 악성코드 통계악성코드 유형별 비율2024년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 48%로 가장 높은 비중을 차지했고, “Virus”가 11%로 그 뒤를 따랐다.   2. 악성코드 동향2024년 6월(6월 1일 ~ 6월 30일) 한 달간 등장한 악성코드를 조사한 결과, 피싱 사이트를 이용해 유포된 "AdsExhaust" 애드웨어가 발견됐다. 또한, 해외 안드로이드 사용자를 공격하는 "Aridspy" 악성코드와 중국 기업을 대상으로 하는 "SquidLoader" 악성코드 유포 캠페인이 알려졌다. 이 외에도 리눅스 환경을 공격하는 "TargetCompany" 랜섬웨어 변종과 랜섬웨어를 유포하..