시큐리티대응센터 1943

Bifrost RAT 악성코드 변종 발견

최근 한 캠페인에서 "Bifrost" RAT 악성코드와 타이포스쿼팅 방식이 적용된 C&C 서버 도메인을 사용하는 정황이 공개됐다. 타이포스쿼팅은 특정 사이트의 도메인 이름을 모방해 철자를 다르게 등록하는 방식으로, 이번 캠페인에서는 VMware 사이트를 사칭한 download.vmfare.com을 공격자의 C&C 서버 도메인에 활용했다. 또한, 이 과정에서 배포된 "Bifrost"는 감염된 환경에서 호스트 이름, IP 주소 등의 정보를 수집해 공격자에게 보내고, 공격자의 C&C 서버에서 받은 명령을 수행할 수 있다. A. 타이포스쿼팅 이번 캠페인에서는 공격자의 C&C 서버의 도메인으로 VMware 사이트와 유사한 download.vmfare.com을 사용해 사용자의 유입을 유도했다. 또한, 대만 공용 D..

2024년 03월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2024년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 74%로 가장 높은 비중을 차지했고, “KMSAuto”와 “Padodor”가 각각 7%와 6%로 그 뒤를 따랐다. 악성코드 유형별 진단 수 3월에 진단한 악성코드를 유형 별로 비교하였을 때 “Worm”의 비중이 가장 높고, “Trojan”과 “Backdoor”가 그 뒤를 따랐다. 2. 악성코드 동향 2024년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 가짜 구글 사이트로 유포되는 "AZORult" 악성코드가 발견됐다. 또한, 리눅스 운영체제를 공격하는 악..

2024년 03월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 35곳의 정보를 취합한 결과이다. 2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 43건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “BlackBasta” 랜섬웨어가 각각 34건과 29건의 유출 사례를 기록했다. 2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 54%로 가장 높은 비중을 차지했고, 캐나다가 9%로 그 뒤를 따랐다. 2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 ..

Microsoft 03월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5035845, KB5035849, KB5035853, KB5035854, KB5035855, KB5035856, KB5035857, KB5035858, KB5035885, KB5035930, KB5035959 참고자료 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21427 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2..

취약점 정보 2024.03.21

WordPress MiniOrange 플러그인의 치명적인 취약점

MiniOrange 사의 WordPress용 악성코드 스캐너와 웹 애플리케이션 방화벽 플러그인의 치명적인 취약점이 발견됐다. 발견된 취약점은 mo_wpns_init() 함수의 기능 확인을 제대로 처리하지 않아 발생하는 권한 상승 취약점으로 CVE-2024-2172 번호가 매겨졌다. 이를 이용하면 공격자는 임의의 사용자 비밀번호를 업데이트 할 수 있으며 자신에게 관리 권한을 부여해 대상 사이트의 모든 항목을 조작할 수 있게 된다. 이처럼 전체 웹 사이트를 완전히 손상시킬 수 있는 취약점은 악성코드 스캐너 4.7.2 및 이전 버전과 웹 애플리케이션 방화벽 2.1.1 및 이전 버전에 영향을 미친다. 이에 대해 보안 업체 WordFence 측은 해당 플러그인이 영구 폐쇄된 상태라고 언급하며 사용 중인 사용자에게..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco IOS XR 7.9.2, 7.9.21, 7.10.1, 7.10.2, 7.11.1 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xrl2vpn-jesrU3fc https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ssh-pr..

취약점 정보 2024.03.18

VMware 제품 보안 업데이트 권고

개요 VMware 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - VMware ESXi80U2sb-23305545, ESXi80U1d-23299997, ESXi70U3p-23307199 - VMware Workstation v17.5.1 - VMware Fusion v13.5.1 참고자료 https://www.vmware.com/security/advisories/VMSA-2024-0006.html

취약점 정보 2024.03.11

2024년 02월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2024년 2월(2월 1일 ~ 2월 29일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 52%로 가장 높은 비중을 차지했고, “Agentb”가 36%로 그 뒤를 따랐다. 악성코드 유형별 진단 비율 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 “Worm”을 제외한 유형에서 증가하는 추이를 보였다. 주 단위 악성코드 진단 현황 2월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 셋째를 기점으로 증가에서 감소로 바뀌는 추이를 보였다. 2. 악성코드 동향 2024년 2월(2월 1일 ~ 2월 29일) 한 달간 등장한 악성코드를 조사한 결과, ..

2024년 02월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 28곳의 정보를 취합한 결과이다. 2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Play” 랜섬웨어가 24건으로 가장 많은 데이터 유출이 있었고, “BianLian” 랜섬웨어와 “8Base” 랜섬웨어가 22건의 유출 사례를 기록했다. 2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 55%로 가장 높은 비중을 차지했고, 영국이 7%로 그 뒤를 따랐다. 2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 ..

가짜 구인 광고로 유포되는 Ov3r_Stealer

최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 “Ov3r_Stealer” 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격 증명과 암호 화폐 등의 민감한 정보를 탈취한다. “Ov3r_Stealer”는 [그림 1]과 같이 윈도우 에러 리포팅 서비스인 “WerFaultSecure.exe”를 실행하고, DLL 사이드 로딩 기법을 이용해 악성 DLL을 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다. 가짜 구인 광고에 포함된 링크에 접속하면 악성 CPL(제어판) 파일이 다운로드되며, 해당 파일은 PowerShel..