시큐리티대응센터 2044

가짜 구인 광고로 유포되는 Ov3r_Stealer

최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 “Ov3r_Stealer” 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격 증명과 암호 화폐 등의 민감한 정보를 탈취한다. “Ov3r_Stealer”는 [그림 1]과 같이 윈도우 에러 리포팅 서비스인 “WerFaultSecure.exe”를 실행하고, DLL 사이드 로딩 기법을 이용해 악성 DLL을 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다. 가짜 구인 광고에 포함된 링크에 접속하면 악성 CPL(제어판) 파일이 다운로드되며, 해당 파일은 PowerShel..

합법적인 메일로 위장하는 SubdoMailing 캠페인

최근 합법적인 도메인으로 위장해 대량의 스팸 메일을 발송하는 “SubdoMailing” 캠페인이 발견됐다. 공격자는 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting and Conformance)의 이메일 인증을 이용해 스팸 필터를 우회한다. 또한, 더 이상 사용하지 않는 도메인을 가리키는 CNAME과 SPF 레코드를 하이재킹하는 등 합법적인 도메인의 하위 도메인을 탈취해 공격에 이용한다. 이로 인해 공격자는 합법적인 사용자로 위장해 스팸 메일을 정상 메일처럼 발송할 수 있다. 한편, 사용자는 메일 본문에 있는 버튼을 클릭할 경우 일련의 리다이렉..

Microsoft 02월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5034763, KB5034765, KB5034766, KB5034767, KB5034768, KB5034769, KB5034770, KB5034774, KB5034795, KB5034809, KB5034819, KB5034830, KB5034831, KB5034833 참고자료 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-20684 https://msrc.microsoft.com/..

취약점 정보 2024.02.27

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Thunderbird 115.8 - Firefox for iOS 123 - Focus for iOS 123 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2024-07/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-08/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-10/

취약점 정보 2024.02.26

메신저 앱에서 정보를 탈취하는 VajraSpy

최근, 메신저 앱으로 위장해 감염된 디바이스에서 정보를 수집하는 안드로이드 악성 앱 “VajraSpy”가 발견됐다. 해당 악성 앱은 구글 플레이 또는 악성 링크를 포함한 가짜 광고로 유포됐으며, 다양한 종류의 메신저로 위장하고 있다. 해당 앱을 실행하면 디바이스의 기본 메시지와 통화 앱 뿐만 아니라 WhatsApp과 Signal 등의 다른 메신저에서도 정보를 탈취한다. “VajraSpy”가 위장한 메신저 중 하나인 Wave Chat을 실행하면 전화번호로 사용자를 등록한 후, 메시지 서비스를 제공하는 정상적인 앱처럼 동작한다. 단, 앱이 실행되기 전 먼저 악성 동작에 필요한 접근성 서비스와 알림 서비스 접근 권한을 요청한다. 해당 권한을 획득하면 카메라, 파일 및 위치 등의 권한을 추가로 요청하는데, 이때..

다시 돌아온 Bumblebee 악성코드

작년에 자취를 감춘 “Bumblebee” 악성코드가 VBA 매크로를 사용하는 이메일 캠페인과 함께 돌아왔다. 보안 업체 Proofpoint는 미국 기업이 수신한 이메일 캠페인을 분석해 두 가지 특징을 발표했다. 첫 번째는 이메일의 OneDrive 링크가 연결하는 Word 문서이다. 이 문서는 VBA 매크로를 지원하며, 스크립트를 사용해 “Bumblebee”를 포함한 추가 페이로드를 다운로드한다. 이에 대해 기존에 발견된 캠페인 중 VBA 매크로를 사용한 사례가 전체 230개 중 1개에 불과하다며 그 차이를 언급했다. 두 번째 특징은 메일의 발신자 주소가 TA579로 알려진 조직에서 사용한 것과 동일하다는 것이다. 해당 특징을 최근 사이버 범죄 현황에 비추었을 때, 많은 악성코드와 조직이 활동을 중단했다가..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Expressway 14.3.4, 15.0.0 - ciscocm.cuc.CSCwh14380_C0208-1.cop.sha512 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur..

취약점 정보 2024.02.13

2024년 01월 악성코드 동향 보고서

1. 악성코드 통계악성코드 진단 비율2024년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 64%로 가장 높은 비중을 차지했고, “Glupteba”가 31%로 그 뒤를 따랐다.  * 해당 통계는 진단 수를 바탕으로 집계되었기 때문에, 실제 감염된 PC의 수량과는 차이가 있음.   악성코드 유형별 진단 비율 전월 비교1월에는 악성코드 유형별로 12월과 비교하였을 때 모든 유형에서 증가하는 추이를 보였다.  주 단위 악성코드 진단 현황1월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 셋째 주는 진단 수가 감소했지만 넷째 주에 다시..

2024년 01월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 29곳의 정보를 취합한 결과이다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, “8Base” 랜섬웨어와 “Akira” 랜섬웨어가 각각 28건과 26건의 유출 사례를 기록했다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 53%로 가장 높은 비중을 차지했고, 프랑스와 영국이 각 6%로 그 뒤를 따랐다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 ..

Qilin 랜섬웨어 리눅스 버전

최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면..