잉카인터넷 시큐리티대응센터 블로그

개요 Apache Tomcat에서 신규 취약점을 해결한 보안 업데이트 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Apache Tomcat v8.5.76 및 이후 버전 - Apache Tomcat v9.0.21 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66718 https://tomcat.apache.org/security-8.html https://tomcat.apache.org/security-9.html

최근 소셜 미디어 사용자의 정보를 탈취하는 "FFDroider" Stealer 악성코드가 발견됐다. 보안 업체 Zscaler에 따르면 "FFDroider" 악성코드는 소프트웨어 크랙 및 토렌트 사이트에서 다운로드한 파일 등을 통해 유포된 것으로 알려졌다. 사용자가 해당 악성코드를 실행하면 먼저, 웹 브라우저에 저장된 쿠키 및 자격 증명 정보를 수집한다. 이후, 수집한 정보 중 페이스북 등의 소셜 미디어와 관련된 쿠키 정보를 사용해 인증을 시도하며, 정상적으로 인증되면 사용자의 소셜 미디어 정보가 유출될 수 있다. 브라우저 및 웹사이트 정보 탈취 “FFDroider” 악성코드는 크롬, 마이크로소프트 엣지 등 [표 1]에 작성된 웹 브라우저를 대상으로 쿠키 및 자격 증명 정보를 수집한다. 그 후, 수집한 정..

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내..

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Thunderbird v91.9 및 이후 버전 - Firefox v100 및 이후 버전 - Firefox ESR v91.9 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66688 https://www.mozilla.org/en-US/security/advisories/mfsa2022-18 https://www.mozilla.org/en-US/securi..

개요 F5사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - BIG-IP v13.1.5, v14.1.4.6, v15.1.5.1, v16.1.2.2 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66689 https://support.f5.com/csp/article/K55879220 https://support.f5.com/csp/article/K23605346 https://suppo..

1. 악성코드 통계 악성코드 Top10 2022년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 3,981 건이 탐지되었다. 악성코드 진단 수 전월 비교 4월에는 악성코드 유형별로 3월과 비교하였을 때 Suspicious, Trojan, Worm의 진단 수가 증가하고, Virus 및 Ransom의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 4..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 88건으로 가장 많은 데이터 유출이 있었고, “LockBit” 랜섬웨어가 78건으로 두번째로 많이 발생했다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 38%로 가장 높은 비중을 차지했고, 독일이 12%, 영국 및 캐나다가 각각 6%, 스페인 및 이탈리아가 각각 4%로 그 뒤를 따랐다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산..

인보이스를 사칭한 피싱 메일 주의! 인보이스 사칭 피싱 메일은 해외 거래를 할 때 사용하는 송장 정보인 '인보이스'를 사칭해 사용자를 속이는 기법으로, 지속적으로 사용되어 왔다. 최근 이런 인보이스 사칭을 통한 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 "Invoice H723."라는 제목으로 유포되며, 인보이스를 확인해 달라는 내용으로 첨부파일 실행을 유도하고 있다. 첨부된 파일을 실행할 경우 Microsoft 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 유도한다. 그 후, 패스워드를 입력하면 잘못된 비밀번호라는 문구와 함께 다시 입력할 것을 요청한다. 이러한 피싱 메일로 인한 피해를 예방하기 위해서는 발신자의 이름 및 주소 등을 주의 깊게 확인하고, ..

최근, 사이버 보안 업체 Symantec이 Shuckworm(Gamaredon, Armageddon)이라고 불리는 러시아 국영 해커 그룹의 공격에 대한 보고서를 발표했다. 해당 업체는 최근 Shuckworm 해커 그룹이 우크라이나를 공격하기 위해 Pteredo 백도어의 다양한 변종을 사용하고 있다고 알렸다. 발견된 Pteredo 백도어 변종은 모두 유사한 기능을 가진 VBS 드로퍼로, 예약된 작업을 사용해 지속성을 유지하고 C2 서버에서 추가 코드를 다운로드한다. 또한, Symantec은 해당 악성코드가 감염된 컴퓨터에서의 지속성을 유지하기 위해 각각 다른 C2 서버와 통신한다고 언급했다. 출처 [1] Symantec Enterprise Blogs (2022.04.20) - Shuckworm: Espio..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco VIM v4.2.2 및 이후 버전 - Cisco Umbrella Virtual Appliance Software v3.3.2 및 이후 버전 - Cisco TelePresence CE v9.15.10.8, v10.11.2.2 및 이후 버전 - Cisco RoomOS January 2022 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66668 ht..