시큐리티대응센터 2044

YouTube 앱을 사칭해 감시하는 CapraRAT 악성코드

최근 APT36 해커 그룹이 YouTube 앱을 사칭한 "CapraRAT" 악성코드를 배포하는 정황이 발견됐다. APT36 해커 그룹은 자체 운영 웹사이트와 사회 공학 기법을 사용해 구글 플레이 스토어 외부에서 악성코드를 배포한다. 사용자가 파일을 설치하면 "CapraRAT"은 마이크, 전면 및 후면 카메라를 이용한 녹음과 모니터링과 같은 수많은 위험 권한을 요청한다. 이때 사용자가 권한을 수락하면 공격자는 감염된 기기에서 통신 정보와 같은 민감한 개인 정보를 탈취한다. 보안 업체 SentinelLabs는 해당 공격이 카슈미르 분쟁 지역 관련 조직과 파키스탄 인권 운동가의 감시를 목적으로 사용된다고 언급했다. 외신은 해당 악성코드가 지속적으로 업데이트되고 있다고 덧붙이며, 공식 구글플레이 스토어 외부에서..

스마트폰의 비밀번호를 훔치는 WiKI-Eve 공격

최근 WiFi를 사용하는 스마트폰의 텍스트 전송을 가로채 비밀번호를 훔치는 'WiKI-Eve' 공격이 발견됐다. 'WiKI-Eve'는 2013년 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용한다. 이때 BFI의 문제점은 정보 교환에 일반 텍스트 형식의 데이터가 포함돼 있어 암호화 키 크래킹 없이도 텍스트 데이터를 가로챌 수 있다. 해당 취약점으로 공격자는 단순히 네트워크 트래핑 모니터링 도구와 기계 학습 프레임 워크를 사용하여 비밀번호를 추론할 수 있다. 'WiKI-Eve'는 6자리 숫자 비밀번호일 경우 100회 미만의 시도에서 85%의 성공률을 가지며 모든 테스트에서 75%이상의 성공을 보이고 있다. 하지만 공격자와 액세스 포인트 사이의 거리가 멀 경우 추측 성공률이 감소하는 것으로 확인됐..

LockBit 랜섬웨어를 대체하는 3AM 랜섬웨어

최근 “LockBit” 랜섬웨어의 공격이 차단된 시스템에서 “3AM” 랜섬웨어로 공격을 시도한 정황이 발견됐다. “3AM” 랜섬웨어는 Rust 언어를 사용하며 매개 변수로 공격을 설정할 수 있다. 공격을 시작하면 파일을 암호화하기 전에 보안 및 백업 관련 서비스를 종료하고 볼륨 섀도우 복사본을 삭제한다. 또한, 침투 테스트 도구인 Cobalt Strike와 사용자의 시스템 정책 설정을 확인하는 gpresult 명령을 사용하고, 원격 제어 도구인 PsExec를 사용해 권한을 상승시킨다. 이 외에도 whoami, netstat 및 wput 같은 명령어로 시스템을 정찰해 파일을 탈취하고, 지속성을 설정하기 위해 사용자를 추가하는 등의 공격을 한다. 이후 파일을 암호화해 파일명에 “.threeamtime” 확장..

Google, Mozilla 제품 보안 업데이트 권고

개요 Google과 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Google Chrome for Mac, Linux 116.0.5845.187 - Google Chrome for Windows 116.0.5845.187/.188 - Firefox 117.0.1 - Firefox ESR 115.2.1 - Thunderbird 115.2.2 참고자료 https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html ht..

취약점 정보 2023.09.15

Microsoft 9월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5002483, KB5002497, KB5029921, KB5029924, KB5030178, KB5030179, KB5030180, KB5030181, KB5030182, KB5030183, KB5030184, KB5030185, KB5030186, KB5030211, KB5030214, KB5030216, KB5030217, KB5030219, KB5030325, KB5030559, KB5030560 참고자료 https://msrc.microso..

취약점 정보 2023.09.13

은행과 물류 산업을 노리는 Chaes 악성코드 변종

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다. 사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다. 최종적으로 사용자의 시스템에서 C&C 서버로 파일..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco branch AP.platform.23.0.1075.ap385341 - Cisco Release Independent 2023.06_1.333, 2023.07_1.332 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-auth-bypass-kCggMWhX

취약점 정보 2023.09.08

Android 제품 보안 업데이트 권고

개요 Google과 Qualcomm 사는 Android에서에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android 11, 12, 12L, 13 참고자료 https://source.android.com/docs/security/bulletin/2023-09-01 https://docs.qualcomm.com/product/publicresources/securitybulletin/september-2023-bulletin.html

취약점 정보 2023.09.08

2023년 08월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2023년 8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 86%로 가장 높은 비중을 차지했다. 악성코드 유형별 진단 수 전월 비교 8월에는 악성코드 유형별로 7월과 비교하였을 때 Trojan, Ransom, Backdoor, Suspicious 및 Worm의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 8월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 전체적으로 7월에 비해 감소한 추이를 보였다. 2. 악성코드 동향 2023년 8월(8월 1일 ~ 8월 31일) 한 달간 등장한 악성코드를 조사한 결과, 안드로이드 환경에서 작동..

2023년 08월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 40곳의 정보를 취합한 결과이다. 2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 123건으로 가장 많은 데이터 유출이 있었고, “BlackCat” 랜섬웨어와 “8base” 랜섬웨어가 각각 37건과 34건의 유출 사례를 기록했다. 2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 43%로 가장 높은 비중을 차지했고, 캐나다가 6%, 독일과 영국이 5%로 그 뒤를 따랐다. 2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산..