잉카인터넷 시큐리티대응센터 블로그

이스라엘을 기반으로 하는 NSO 그룹의 Pegasus Spyware가 미국 국무부 관리의 iPhone에서 발견되었다. 최소 9명의 직원이 해킹을 당한 것으로 알려지며, NSO 그룹은 이에 대해 해당 스파이웨어의 판매 이후 공격에 대해서 알지 못한다고 밝혔다. Pegasus Spyware는 녹음, 녹화 및 사용자 정보 탈취 등 각종 원격제어가 가능한 소프트웨어로, 지난 11월 Apple은 NSO 그룹과 그 모회사인 Q Cyber Technologies를 상대로 Apple 사용자 감시 및 표적 공격에 대해 미국 연방 법원에 소송을 제기한 바 있다. 사진 출처: Apple 출처 [1] Securityaffairs (2021.12.07) - NSO Group spyware used to compromise iP..

지난 11월에 Delta-Montrose Electric Association(DMEA)는 랜섬웨어 공격을 받아 일부 시스템이 중단되었다. DMEA는 콜로라도주 몬트로즈에 지역 전기 협동 조합으로 Touchstone Energy 연맹에 속하고 있다. 해당 공격으로 DMEA의 내부 네트워크 기능은 90%가량 손상되었으며 전화, 이메일, 청구 및 고객 계정 시스템이 중단되었다고 전해진다. 아직까지 어떠한 랜섬웨어의 공격인지 밝혀진 바는 없으며, 아래의 그림과 같이 DMEA의 사이트에서 관련 정보를 전달하며 12월 6일에서 10일 사이에 업무를 재개할 것이라 알렸다. 사진 출처: DMEA 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cybera..

최근, Nobelium해커그룹의 새로운 악성 코드인 Ceeloader가 발견되었다. Nobelium 해커그룹은 APT29 또는 CozyBear 등으로 불리며, 러시아의 연방 대외 정보국을 배후로 두고 있는 것으로 알려져 있다. 그리고 이 그룹은 작년 미국의 SolarWinds 공급망 공격의 배후로 추정된다. Ceeloader 악성코드는 Cobalt Strike BEACON 에 의해 사용자 PC에 설치되며, 다운로더의 동작을 수행한다. 출처 [1] Mandiant (2021.12.07) - Suspected Russian Activity Targeting Government and Business Entities Around the Globe https://www.mandiant.com/resources/..

Microsoft DCU는 중국을 배후로 둔 해커그룹인 Nickel의 공격에 대응하여 수십 개의 악성 사이트를 차단하였다. 이들은 지난 2일 버지니아 동부 지역의 미국 지방 법원에 탄원서를 제출하였으며, 빠르게 승인되어 6일에 관련된 악성 웹 사이트를 모두 제어하였다고 전해진다. Nickel 그룹은 2016년부터 활동이 발견되었으며, APT15, KE3CHANG, Royal APT 등으로 불리기도 한다. 특히 북미, 남미, 유럽 및 아프리카의 외교 기관이나 기업을 대상으로 공격을 수행하였다. 사진 출처: Microsoft 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cyberattacks https://blogs.microsoft.com/..

잉카인터넷 대응팀은 2021년 11월 26일부터 2021년 12월 02일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Rook"외 3건, 변종 랜섬웨어는 "Karma"외 1건이 발견됐다. 2021년 11월 27일 Karma 랜섬웨어 파일명에 ".KARMANKA" 확장자를 추가하고 "KARMANKA-CYPHEREDDD.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 [그림 1]과 같이 바탕화면 배경을 변경한다. 2021년 11월 28일 TOHNICHI 랜섬웨어 파일명에 ".brg" 확장자를 추가하고 "How to decrypt files.txt"라는 랜섬노트를 생성하는 "TOHNICHI" 랜섬웨어의 변종이 발견됐다. 2021년 ..

최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 ..

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Mozilla Network Security Services(NSS) v3.73, v3.68.1 ESR 및 이후 버전 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/

최근 Microsoft Defender Antivirus에서 Office 문서를 "Emotet" 악성코드로 오탐지 한 정황이 발견됐다. 오탐지 정황을 발견한 사용자들에 따르면 Microsoft Defender Antivirus를 1.353.1874.0 버전으로 업데이트한 이후에 발생한 것으로 알려졌다. 현재, 외신은 이번 오탐지 정황이 "Emotet" 측의 재활동과 연관이 있을 것으로 추정 중이다. 이에 반해 Microsoft 측에서는 이번 사건과 관련해 어떠한 정보도 발표하지 않고 있다. 사진 출처 : Twitter 출처 [1] Twitter – 마이크로소프트 오탐지 관련 트위터 게시글 https://twitter.com/SydeEyeDotCom/status/1465800720821727235

1. 악성코드 통계 악성코드 Top20 2021년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 11,491 건이 탐지되었다. 악성코드 진단 수 전월 비교 11월에는 악성코드 유형별로 10월과 비교하였을 때 Exploit의 진단 수가 증가하고, Trojan, Virus, Worm 및 Backdoor 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 11월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 10월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 202..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 78건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 77건으로 두번째로 많이 발생했다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 42%로 가장 높은 비중을 차지했고, 독일이 6%, 프랑스와 이탈리아가 5%로 그 뒤를 따랐다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제..