시큐리티대응센터 2044

디지털 인증서를 탈취하는 SoumniBot

최근 국내 사용자를 대상으로 모바일 악성 앱 “SoumniBot”을 유포해 디지털 인증서를 탈취하는 캠페인이 발견됐다. 디지털 인증서는 국가에서 일반 국민을 대상으로 발급하는 전자 서명용 공인 인증서로, 서버와 클라이언트 간의 신원을 확인하고 송수신되는 네트워크 데이터를 보호하는데 사용된다. 이번 캠페인에서 활용된 “SoumniBot”은 모바일 부고장 또는 민원 목적 등의 정상 앱으로 위장해 사용자의 설치를 유도한다. 이후, 감염된 디바이스의 NPKI 폴더에서 디지털 인증서와 개인키 파일을 훔치며, 이로 인한 인증서 유출은 심각한 추가 피해를 야기할 수 있어 주의가 필요하다. 민원APP으로 위장한 “SoumniBot”을 실행하면 사용자에게 연락처, SMS 메시지 및 저장소 등에 접근할 수 있는 권한을 요..

Cisco 제품 보안 업데이트 권고

개요Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술  해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco IMC 3.2.15.3, 4.14.1, 4.12.2, 4.1, 4.2, 4.3 참고자료https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb#fs

취약점 정보 2024.05.09

2024년 04월 악성코드 동향 보고서

1. 악성코드 통계악성코드 유형별 비율2024년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 43%로 가장 높은 비중을 차지했고, “Worm”과 “Virus”가 각각 11%와 10%로 그 뒤를 따랐다.  2. 악성코드 동향2024년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 금융 기관을 표적으로 하는 "JsOutProx" 악성코드가 발견됐다. 또한, 피싱 이메일을 이용해 유포되는 "Latrodectus"와 "SSLoad" 악성코드가 알려졌다. 이 외에도 국내 안드로이드 사용자를 공격하는 "SoumniBot" 악성코드와 새로운 이름으로 등장한 "HelloGookie" ..

2024년 04월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계랜섬웨어 데이터 유출 통계랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Hunters International” 랜섬웨어가 30건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “8Base” 랜섬웨어가 각각 25건과 24건의 유출 사례를 기록했다.  2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 58%로 가장 높은 비중을 차지했고, 캐나다와 영국이 각 6%와 4%로 그 뒤를 따랐다.  2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유..

CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인

최근 CDN(Content Delivery Network) 캐시를 악용해 악성코드를 유포한 캠페인이 발견됐다. 보안 업체 Cisco Talos는 공격자가 탐지 기술을 회피하기 위해 CDN 캐시를 다운로드 서버로 사용했다고 언급했다. 또한, 업로드한 악성 ZIP 파일을 영화 파일로 속여 사용자가 다운로드하도록 유도했다고 전했다. 이때 사용자가 ZIP 파일을 다운로드해 내부의 바로가기 파일을 실행하면 감염 체인이 시작된다고 덧붙였다. 최종적으로 “Cryptbot”과 “LummaC2” 및 “Rhadamanthys” 등의 인포스틸러 악성코드를 사용해 사용자의 정보를 탈취한다고 설명했다. Cisco Talos 측은 캠페인에서 사용된 기술과 공격 방식을 근거로 베트남 출신으로 알려진 CoralRaider 조직이 배..

Wordpress 제품 보안 업데이트 권고

개요Wordpress 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Wordpress Automatic 플러그인 3.92.1 참고자료https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-automatic/automatic-3920-unauthenticated-sql-injection

취약점 정보 2024.04.29

이미지 스위칭을 이용하는 Ande Loader

최근 북미의 제조업을 대상으로 “Ande Loader”를 사용해 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인에서 사용된 “Ande Loader”는 Base64로 인코딩된 후 VBScript 형태로 유포됐으며, 공격자의 C&C 서버에서 최종 페이로드인 “NjRAT”을 다운로드 후 실행한다. 이후, 실행된 “NjRAT”은 사용자 PC에서 C&C 서버 연결을 시도하고 파일을 다운로드하거나 명령에 따른 추가 동작을 수행한다. 공격자가 “Ande Loader”를 이용해 사용자 PC에서 최종 페이로드를 다운로드 및 실행하는 흐름도는 [그림 1]과 같다.  ①     VBS 파일 내부의 PE 데이터를 Baset64로 디코딩해 “Ande Loader”를 확보한 후, 별도의 드롭 과정 없이 실행한다.②     “..

Microsoft 04월 정기 보안 업데이트 권고

개요Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술  해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다.- Microsoft Defender for IoT 24.1.3- KB5036892, KB5036893, KB5036894, KB5036896, KB5036899, KB5036909, KB5036910, KB5036922, KB5036925, KB5036932, KB5036950, KB5036960, KB5036967, KB5036969   참고자료https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-..

취약점 정보 2024.04.22

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco RV 160, 160W, 260, 260P, 260W, 340, 340W, 345, 345P Series Routers 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbiz-rv-xss-OQeRTup

취약점 정보 2024.04.19

2024년 1분기 국가별 해커그룹 동향 보고서

1분기 국가별 해커 그룹 동향 보고서 러시아 2024년 1분기 러시아의 해커 그룹인 ColdRiver와 CozyBear 그룹의 공격이 발견됐다. ColdRiver 해커 그룹은 PDF 암호 해독 도구로 가장한 페이로드를 사용해 알려지지 않은 백도어 악성코드를 배포했으며, CozyBear 해커 그룹은 독일 정당을 대상으로 피싱 메일을 사용해 공격하는 것이 확인됐다. ColdRiver 2015년도 후반부터 활동한 ColdRiver 해커 그룹은 러시아 정부 지원을 받고 있는 것으로 알려졌으며, Callisto Group, Seaborgium 및 Star Blizzard라고도 불린다. 최근에 해당 그룹은 전 세계 조직을 대상으로 계정 자격 증명과 데이터를 탈취하는 스피어 피싱 캠페인을 진행했다. 지난 2022년도..