시큐리티대응센터 2036

GoDaddy에서 호스팅하는 WordPress 사이트를 노린 백도어

최근, Wordfence의 연구원들이 유명 호스팅 업체 GoDaddy가 호스팅 하는 WordPress 사이트에서 백도어 감염이 급증하는 것을 발견했다. Wordfence는 해당 내용을 확인한 후, GoDaddy가 호스팅 하는 일부 사이트에서 워드 프레스 설정 파일인 wp-config.php 파일이 변조된 정황을 발견했다고 알렸다. 또한, 변조된 설정 파일에는 감염된 사이트가 검색 결과의 최상단에 노출되도록 조작하는 코드와 함께 공격자가 운영하는 C&C 서버에서 악성 링크 템플릿을 다운로드하는 코드가 포함됐다고 언급했다. Wordfence는 GoDaddy에서 호스팅되는 사이트일 경우 wp-config.php 파일을 수동으로 확인하거나, 악성코드 탐지 솔루션을 통해 사이트가 감염되지 않았는지 확인할 것을 권..

인스타그램을 사칭한 피싱 공격

최근, 미국의 보안 회사 Armorblox는 인스타그램을 사칭한 피싱 공격을 발견했다고 발표했다. 해당 업체에 따르면 공격자들이 인스타그램을 사칭한 메일을 전송해 피싱사이트 접속을 유도한다고 알려졌다. 또한, 피싱 사이트는 계정 확인 양식 페이지를 통해 인스타그램 계정을 탈취하기 위한 정보를 요구한다고 알렸다. Armorblox는 계정에 다단계 인증(MFA)을 사용하고 개인용 계정과 업무용 계정에 동일한 비밀번호를 사용하지 않을 것을 권고했다. 사진출처 : Armorblox 출처 [1] Armorblox (2022.03.16) – The Email Bait … and Phish: Instagram Phishing Attack https://www.armorblox.com/blog/the-email-bai..

[주간 랜섬웨어 동향] – 3월 3주차

잉카인터넷 대응팀은 2022년 3월 11일부터 2022년 3월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Encry" 외 4건, 변종 랜섬웨어는 "BlackCat"외 2건이 발견됐다. 2022년 3월 11일 BlackCat 랜섬웨어 파일명에 ".iz5zhcr" 확장자를 추가하고 "RECOVER-iz5zhcr-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면의 배경을 [그림 2]로 변경한다. Stop 랜섬웨어 파일명에 ".ii" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. Nok..

러시아 DDoS 공격 도구로 위장한 악성코드

최근, 미국의 네트워크 장비 제조 업체 Cisco가 DDoS 공격 도구로 위장한 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 이 도구가 러시아 웹사이트를 표적으로 하는 DDoS 공격 도구로 위장하고 있으며 주로 Telegram 메신저를 통해 유포된다고 알려졌다. 또한, 이 도구는 "Phoenix InfoStealer" 로 구성된 악성코드이며 실행할 경우 NFT관련 지갑 정보와 암호화폐 관련 정보를 수집해 공격자의 서버에 전송한다고 알렸다. Cisco는 인터넷 채팅방에 업로드 된 소프트웨어를 설치하지 않도록 주의하고, 이메일의 첨부파일은 다운로드 전에 유효성 검사를 해야 한다고 권고했다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco Talosintelligence ..

Google Chrome 보안 업데이트 권고

개요 Google 사는 Google Chrome에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Google Chrome v99.0.4844.74 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36499 https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_15.html https://support.google.com/chrome/answer/..

취약점 정보 2022.03.17

OpenSSL 보안 업데이트 권고

개요 OpenSSL 은 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - OpenSSL v1.0.2zd, v1.1.1n, v3.0.2 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36498 https://www.openssl.org/news/secadv/20220315.txt https://www.openssl.org/source/

취약점 정보 2022.03.17

러시아 보안 제품 사용을 경고한 독일 연방 정보 보안국

최근, 독일 연방 정보 보안국(BSI)이 자국민에게 러시아 보안 기업 Kaspersky의 보안 제품을 대체 제품으로 교체하도록 권장했다. BSI는 러시아의 IT 업체가 직접 사이버 공격을 수행하거나 정부로부터 공격을 진행하도록 강요받을 수 있다고 언급했다. 또한, 해당 기관은 업체에서 다른 제품으로 전환이 필요할 경우 자신들이 인증한 IT 보안 서비스 제공 업체와 상담할 것을 권장했다. 한편, 카스퍼스키 측은 독일 연방 정보 보안국의 경고에서 언급된 내용들을 부인하고, 자신들의 제품에 신뢰성이 있다는 내용의 성명을 발표했다. 사진 출처 : Kaspersky 출처 [1] Federal Office for Information Security (2022.03.15) - BSI warnt vor dem Ein..

QNAP사의 NAS 장치에 영향을 미치는 Dirty Pipe 취약점

최근, 대만의 네트워크 장비 제조 업체 QNAP이 자사 NAS(Network Attached Storage) 장치에 영향을 미치는 "Dirty Pipe" 취약점에 대해 경고했다. 해당 업체는 "'Dirty Pipe' 라고도 불리는 CVE-2022-0847 취약점이 자사 NAS 장치의 운영체제 QTS 5.0.x 및 QuTS hero h5.0.x의 Linux Kernel 에 영향을 미치는 것으로 보고됐다." 고 알렸다. 또한, 해당 취약점에 대해 조사 중이며 보안 업데이트가 제공되는 즉시 설치할 것을 권고했다. 이 취약점의 최초 보고자에 따르면 "Dirty Pipe"는 Linux Kernel Pipe에서 초기화를 제대로 처리하지 못해 발생하는 권한 상승 취약점으로 읽기 권한을 가진 공격자가 관리자 권한을 얻..

채팅 앱을 악용하는 Raccoon Stealer 악성코드

Avast Threat Labs의 연구원들이 과거 유행하던 정보 탈취형 악성코드 Raccoon Stealer가 Telegram을 악용하는 기능을 추가했다고 발표했다. Raccoon Stealer와 관련한 자세한 정보는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다. 2019.11.15 - Raccoon Stealer 악성코드 분석 보고서 연구원들에 따르면 최근 발견된 Raccoon Stealer 악성코드는 Telegram 인프라에 C2 주소를 저장한다. 또한, 연구원들은 해당 악성코드가 C2 명령을 통해 Clipboard Stealer와 WhiteBlackCrypt Ransomware 등의 추가 악성코드 파일을 다운로드해 실행한다고 언급했다. 사진 출처 : Avast Threat La..

이스라엘 정부 웹사이트를 대상으로 하는 DDoS 공격

최근 이스라엘의 보건·내무·법무부를 포함한 다수의 정부 웹사이트가 대규모 DDoS 공격을 받아 운영에 차질을 빚었다. 외신은 이스라엘 국방부와 국가 사이버 보안국이 비상사태를 선포했으며, 공격이 중요 기반 시설에 피해를 입혔는지 확인하고 있다고 전했다. 한편, 이스라엘 언론 예루살렘 포스트는 이번 공격이 이란과 연계됐을 가능성이 있다고 주장했다. 사진 출처 : National Cyber Directorate 출처 [1] SecurityAffairs (2022.03.15) - A massive DDoS attack hit Israel, government sites went offline https://securityaffairs.co/wordpress/129063/cyber-warfare-2/massiv..