시큐리티대응센터 2037

[긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견

1. 개요 2012년 06월 20일 잉카인터넷 대응팀은 "북핵해결 3대 전략", "삼위일체의 북핵전략" 등의 내용을 가지고 있는 한컴 HWP 문서의 보안 취약점을 이용한 악성파일 샘플을 확보하였다. 해당 악성파일이 사용한 보안취약점은 현 시점까지 아직 보안 업데이트가 공식 배포되고 있지 않은 Zero-Day 취약점이기 때문에 최신 버전의 한컴오피스 사용자들도 직접적인 위협에 노출될 가능성이 매우 높다. 따라서, 이와 유사한 문서를 열람한 경우 신속하게 탐지가 가능한 최신 nProtect Anti-Virus 제품을 이용해서 전체 검사를 수행하고, 감염된 별도의 악성파일들을 검색하여 제거하는 과정을 거쳐야 한다. 최근 연속해서 HWP 한글 문서 취약점을 이용하고, "통일" 또는 "북핵" 등 국가안보와 관련된..

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현

1. 개요 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금 불법 인출용 악성파일 변종이 국내 특정 토렌트 자료실 영화파일처럼 위장되어 유포 중인 6개의 게시글을 발견하였다. 해당 게시글은 2012년 06월 18일 새벽 05시 20분 경부터 업로드되기 시작했으며, 기존에 발견되었던 형태와 동일하게 윈도우 폴더에 CretClient.exe, HDSetup.exe 파일 등을 생성하고, CONFIG.INI 설정파일을 이용하여 원격지 서버 IP 로드와 호스트 내용 등을 변경하게 된다. 그 이후에 국내 특정 인터넷 뱅킹 사이트로 접속시 조작된 가짜 웹 사이트를 보여주고, 개인금융 관련 고유정보를 입력하게 하여 개인정보 탈취 및 예금 불법 인출 목적 등으로 시도될 수 있으므로, 이용자들의 각별한 주의가 요망된다..

[주의]AIDS 치료제 트루바다 내용으로 위장된 악성파일 이메일

1. 개요 잉카인터넷 대응팀은 세계보건기구(WHO:World Health Organization)에서 발송한 것처럼 사칭한 악성 이메일을 발견하였다. 해당 이메일은 임신기간 중 인간 면역결핍 바이러스(HIV:Human Immunodeficiency Virus)의 예방 효과를 가진 트루바다(Truvada) 알약에 대한 PDF 문서처럼 아이콘 등을 위장하고 있는 악성파일이다. HIV 란 후천성 면역결핍 증후군인 "AIDS"(Acquired Immune Deficiency Syndrome)를 일으키는 원인 바이러스를 의미한다. 최근 사상 처음으로 에이즈 예방약으로 트루바다가 공식 인증을 눈앞에 둔 상태로 알려져 있고, 미국 식품의약국(FDA) 자문위원회는 AIDS 치료제로 쓰이고 있는 트루바다를 예방약으로 승..

[정보]유럽의 주류 판매 업체로 위장한 악성 이메일

1. 개 요 잉카인터넷 대응팀은 유럽의 주류 판매 업체에서 발송한것처럼 위장한 악성 이메일을 발견하였다. 해당 악성 이메일은 발송자 주소란에 실제 해당 업체 Denmark branch의 책임자 이메일 주소가 기입되어 있으며, 링크파일 실행을 통해 감염이 이루어지는 것이 특징이다. 또한, 감염이 이루어지면 특정 외산 백신에 대한 강제 종료 및 MSN 등의 특정 인스턴스 메신저 메인 화면을 출력하여 일반 사용자들의 경우 쉽게 현혹되어 악성파일 감염 여부를 인지하기가 어려울 수 있다. 물론 해당 악성파일은 스페인어로 이루어져 있으며, 국내 유입 및 감염 피해 사례는 확인되지 않고 있다. 그러나 최근 이러한 악성 이메일을 통한 악성파일 유포가 빈번한 만큼 일반 사용자들은 이점을 참고하여 이와 같은 유형의 악성 ..

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생

1. 개요 잉카인터넷 대응팀은 통일정책 토론회 문서내용 등을 포함하고 있는 "HWP 악성파일이 국내에 전파"된 것을 발견하였다. 현재 잉카인터넷 대응팀은 해당 파일의 유포지 등 부수적인 자료를 추적 중에 있으며, 악성파일에 대한 긴급 업데이트도 함께 완료한 상태이다. 더불어 최신 업데이트가 이뤄진 한컴오피스 사용자일지라도 아직 알려지지 않은 HWP Zero-Day Exploit 을 사용하고 있어 매우 각별한 주의가 필요하다. 또한, 설치된 악성파일은 사용자 컴퓨터의 "실행중인 프로그램 리스트와 시스템 주요정보 등을 저장하여 외부로 유출"을 시도하기 때문에 해당 악성파일에 감염된 경우 개인정보 유출 피해를 입을 가능성이 높다. 2. 악성파일 정보 탈북인 인적사항으로 유혹하는 HWP 악성파일 등장 ☞ htt..

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04)

1. 개요 잉카인터넷 대응팀은 국내 유명 인터넷 라이브 방송 사이트의 동영상 플레이어 설치파일 등의 변조를 통하여 국내 인터넷 뱅킹용 악성파일이 유포 중인 것을 발견하였다. 정상적인 인터넷 방송 서비스의 모듈을 위변조하여 사용자 몰래 악성파일을 설치하는 형태이기 때문에 이용자들은 감염 여부 인지자체가 어려울 것으로 예상되며, 인터넷 뱅킹 사용자들의 직접적인 예금인출 사고로 연결될 위험성이 크다고 판단된다. 따라서 인터넷 방송 사이트와 인터넷 뱅킹 사용자들의 각별한 주의가 요망된다. 잉카인터넷 대응팀은 해당 악성파일의 변종을 다수 입수 하였으며, 금융권 보안관계자 등 유관기관에 해당 정보를 신속하게 공유한 상태이다. - 당신의 인터넷 뱅킹 예금은 안녕하십니까? - 국내 유수의 인터넷 뱅킹 사용자를 노린 불..

[주의]탈북인 인적사항으로 유혹하는 HWP 악성파일 등장

1. 개요 잉카인터넷 대응팀은 탈북자의 신상정보를 포함하고 있는 HWP 형태의 악성 문서파일을 추가로 발견하였다. 해당 문서에는 아직 진위여부 확인이 되지 않은 약 5명의 특정 탈북인 이름과 출신지, 직업 등이 상세히 기록되어 있으며, 북한을 탈출하게 된 경위 등이 포함되어 있다. 또한, "다른 탈북한 사람들처럼 한국에 가고 싶습니다. 우리 불쌍한 사람들을 구해주십시오. 중국정부로 부터 다시 북한에 인계받으면 끝장입니다." 와 같은 탈북자 강제북송 관련 내용들이 언급되어 있다. 아울러 이 파일은 한글과컴퓨터(한컴)사의 HWP 문서취약점을 이용하여 사용자를 현혹하며, 보안 취약점이 존재하는 상태에서 파일을 실행할 경우 사용자 몰래 SUCHOST.EXE 이름의 또 다른 악성파일을 설치하고, 홍콩의 특정 호스..

[주의]카카오톡 보이스톡 도용 사기성 안드로이드 앱

1. 개요 잉카인터넷 대응팀은 스마트폰용 무료 메시지 전송 서비스로 유명한 카카오톡(KakaoTalk)의 무료 모바일 음성 통화 서비스(m-VoIP)인 보이스톡(VoiceTalk) 서비스처럼 위장하여 유포된 안드로이드 악성파일을 발견하였다. 2012년 6월 4일부터 보이스톡의 시범 서비스가 본격적으로 시작되면서 모바일 무료통화 시장을 비롯한 통신 업계 전반에 지각변동을 예고하고 있으며, 상당수의 스마트폰 사용자가 매우 만족스러운 의견을 내놓고 있는 상황이다. 이런 가운데 구글의 안드로이드 공식 마켓인 Google play에 기존의 카카오톡 로고와 보이스톡 브랜드명을 그대로 도용한 앱이 등장하면서 이용자들 사이에 혼란이 발생하였고, 초기 가입비 명목 등으로 소정의 금액을 특정 계좌로 입금하도록 하였지만 서..

[정보]톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일

1. 개요 최근 "디아블로3"의 발매와 함께 온라인 게임 계정 정보 탈취를 시도하는 악성파일의 활동 또한 활발해지고 있다. 사실, 온라인 게임 계정 정보를 탈취하는 악성파일의 문제는 어제 오늘의 일이 아니며, 국내에 유포되는 악성파일중 가장 높은 유포 비율을 보이고 있는 실정이다. 이는 온라인 게임에서 사용되는 아이템이나 게임머니가 실제 현금으로 거래되며, 금전적 이득을 취할 수 있기 때문이다. 보통 이러한 악성파일의 경우 주로 공격자가 보안에 취약한 웹 사이트를 해킹하여 악성파일을 삽입하고, 해당 사이트의 접속 등을 통해 자동으로 감염을 유발하는 경우가 대부분이다. 그러나 이번에 발견된 악성파일의 경우에는 접속에 따른 감염이 아니라 동영상 플레이어 배포 사이트에서 제공하는 정식 설치 모듈을 아예 악성파..

[주의]세계 환경의 날 문서로 위장된 표적형 악성파일 발견

1. 개요 잉카인터넷 대응팀은 2012년 "세계 환경의 날[매년 06월 05일]"이 가까워지면서 관련된 내용의 이메일처럼 교묘히 위장된 지능적인 표적공격(APT)형 악성파일 유포 정황을 발견하였다. 해당 공격은 해외의 특정 조직을 대상으로 유포된 것으로 마이크로 소프트사 Office 제품군의 보안 취약점(MS12-027/CVE-2012-0158)을 이용하였다. 수신자가 이메일에 첨부되어 있는 MS Word 문서인 DOC 파일을 보안이 취약한 상태에서 열어보게 될 경우 문서파일에 숨겨져 있던 별도의 악성파일이 사용자 몰래 추가 설치되고, 악성파일 감염으로 인한 부수적인 피해를 입을 수 있게 된다. 이러한 악성파일은 최신 보안 업데이트만 설치하여도 사전에 악성파일에 노출되는 위기를 충분히 예방할 수 있다는 ..