시큐리티대응센터 2044

[주의]스미싱, 네이트온 메신저로 공격 범위확대!

1. 이제는 모바일 메신저까지 노린다. 잉카인터넷 대응팀은 기존의 스마트뱅킹 악성앱 설치용 스미싱 범죄자들이 네이트온 메신저의 특정 계정을 해킹하여 모바일로 로그인되어 있는 상대방에게 안드로이드 악성앱(APK)을 유포시키는 실제 사례를 처음으로 발견하였다. 기존의 안드로이드 기반 악성앱이 문자메시지(SMS)를 통해서 다량 전파되고 있는 가운데 유명 모바일 메신저로 확대 시도되고 있다는 것이 공식 확인된 것이다. 공격자는 네이트온 메신저의 특정 이용자 계정을 도용해서 PC기반에서 로그인하였고, 로그인되어 있던 모바일 상대방들에게 악성앱을 전파시켰다. 실제 네이트온 메신저는 컴퓨터용에서 로그인을 하면 상대방이 모바일로 연결되어 있는지 PC로 로그인되어 있는지 구분할 수 있기 때문에 맞춤형 공격이 가능한 상태..

[주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가

1. 대북관련 단체 및 기관의 주요인사 표적공격 잉카인터넷 대응팀은 한컴오피스의 HWP 문서취약점을 이용한 표적공격이 꾸준히 유지되고 있다는 것을 사례별로 여러차례 공개한 바 있다. 이러한 방식은 각종 문서취약점과 스피어 피싱이 결합한 국지적 표적공격으로 매우 고전적인 수법이다. 그러나 수신자가 의심하지 않도록 사람의 심리를 교묘하게 이용하기 때문에 효과적인 측면에서 성공 가능성이 높아 지속적인 침투기법으로 활용되고 있다. 이를테면 특정 기업과 기관의 주요인사를 겨냥해 마치 업무관계자 및 지인을 사칭한 후 각종 행사 및 업무 관심사를 반영한 이메일로 조작한 후 첨부된 HWP 악성파일을 열도록 유도하게 되는데, 최근 이러한 유사 공격징후가 지속적으로 발견되고 있는 실정이다. 특히, HWP 문서취약점을 이용..

[주의]메모리해킹, 애드웨어와 동영상 플레이어 서버 통해서 지속전파

1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격 잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다. 물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다. 해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다. [긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증 ☞ http://erteam.nprotect.com/461 [주의..

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증

1. 국산 애드웨어 유통서버를 통한 악성파일 전파 패러다임의 변화 잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조하여 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러차례 공개한 바 있었는데, 최근들어 이 방식이 유행처럼 번져나가고 있어, 긴급대응 및 집중 모니터링 상태를 유지하고 있다. 이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존의 [Drive By Download] 기법이나 [Watering Hole] 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일을 몰래 전파시킬 수 있기 때문에 사이버 범죄자들에게 감염율이 높은 공격기법으로 활용되고 있다. ..

[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포

1. 국산 Adware 프로그램 변조를 통한 인터넷 뱅킹 공격 시도 2013년 12월 23일 잉카인터넷 대응팀은 국내에 지속적으로 유포 중인 변칙적 광고프로그램(Adware)을 조작한 후 메모리 해킹용 인터넷 뱅킹 악성파일(KRBanker) 변종을 몰래 유포시키고 있는 정황을 포착하였다. 이 수법은 전자금융사기 범죄자들이 보안업체의 관제 및 탐지를 우회하기 위해서 애드웨어 모듈까지 은밀히 변조하여 사용하고 있는 지능적 공격방식이다. 잉카인터넷 대응팀은 지난 2013년 07월 경에도 이와 관련된 정보를 최초 공개한 바 있으며, 2013년 12월에 동일 방식의 메모리 해킹 기능의 인터넷 뱅킹용 악성파일(KRBanker) 변종이 다수 전파되고 있는 사실을 확인했다. [주의]공공의 적 애드웨어 전자금융사기 파밍..

[주의]비아그라와 음란사이트로 위장한 표적형(?) 음란 스미싱

1. 비아그라 판매 내용으로 유혹하는 음란 스미싱 등장 잉카인터넷 대응팀은 안드로이드용 악성앱 관제 중에 새로운 유형으로 악성앱 설치를 유도하는 스미싱 기법을 최초탐지했다. 과거에도 성인사이트 앱처럼 위장하여 개인정보 탈취 등을 시도한 사례가 있기는 했었지만, 자주 발견되는 종류는 아니었다. 문자메시지(SMS)를 통한 다양한 형태의 스미싱이 창궐하고 있는 가운데, 이용자들의 감염율을 높이기 위해서 다양한 기법이 동원되고 있는 추세이다. 해당 스미싱 내용은 보안협력이 체결되어 있는 이동통신사 SKT 보안팀에 전달하여 조속히 차단될 수 있도록 협력 중이며, 유관기관 등에도 공유한 상태이다. 특히, 이번에 발견된 사례처럼 음란하고 자극적인 이미지를 포함한 경우, 표적공격용으로 활용이 가능하고, 호기심 유발로 ..

[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격

잉카인터넷 대응팀은 ▶항공우주 분야 연구원, ▲비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 HWP 취약점 문서를 포함한 다수의 표적공격 정황을 포착했고 일부를 공개하면 다음과 같다. [HWP 악성파일 바이러스 토탈 진단현황] https://www.virustotal.com/ko/file/82e7e428a30a3c326731f3a8caf8e6ef814ccef6983b5bf26676280c4a10b1c1/analysis/1387256938/ https://www.virustotal.com/ko/file/2fcd75b636da833e7d408801592f20bfb9443f468252f2d7ab255357ad54760e/analysis/1387256958/ 1. 항공우주 분야의 연구 기밀을 노린 ..

[주의]정상적인 웹 사이트 화면을 무단도용하는 지능적 스미싱

1. VOD 영화관의 무료영화감상 내용으로 둔갑한 문자사기 잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱(Smishing)을 발견했다. 물론 스미싱용 문자메시지(SMS)가 갈수록 다변화되고 있기 때문에 이용자들은 URL 이나 IP주소 등의 인터넷 주소가 포함된 경우 가급적 접근을 자제하고 의심해 보는 노력이 필요하다. 이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹 사이트의 화면을 무단도용하였다. 문자메시지(SMS) 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시켰다. 그런 다음에 문자메시지에 포함된 인터넷주소(URL)를 클릭하도록 유도한 후..

[주의]국내 비트코인 거래소 이용자를 겨냥한 악성파일 등장

1. 비트코인 국내 사용처 1호점 등장과 함께 시작된 악성파일 잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 ☞ http://erteam.nprotect.com/450 [주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장 ☞ http://erteam.nprotect.com/438 [긴급]6.25 사이버전, 신문사, ..

[자료]안드로이드 스미싱용 악성앱 분석자료

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입 ☞ http://erteam.nprotect.com/449 [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://erteam.nprotect.com/448 [정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황 ☞ http://erteam.nprotect.com/445 [주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장 ☞ http://erteam.nprotect.com/442 [주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경 ☞ http://erteam.nprotect.com/431 [긴급]카카오톡 위장 악성앱 신종공격 기법 등장 ☞ http://erteam.nprotect.com/428 [주의]스..