잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 55건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 39건으로 두번째로 많이 발생했다. 2021년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 45%로 가장 높은 비중을 차지했고, 독일과 이탈리아가 각각 6%와 5%, 영국과 일본이 각각 4%로 그 뒤를 따랐다. 2021년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 ..

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 ..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 긴급(Critical) 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Enterprise NFVIS v4.6.1 및 이후 버전 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-g2DMVVh

최근 한 다크웹 마켓플레이스에서 유명 스포츠의류 제조업체의 데이터가 경매에 올랐다. 해당 글을 게시한 Marketo 측은 탈취된 증거로 데이터 (약 1GB)를 공개하며, 유명 스포츠의류 제조업체로부터 탈취된 데이터라고 주장했다. 유출된 데이터에는 피해 업체의 내부 관리 애플리케이션의 일부 소스코드로 확인된다. 사진출처 : 다크웹 출처 [1] Securityaffairs (2021.09.01) - The name of the sportswear manufacturer Puma appeared on the dark web marketplace of stolen data Marketo, threat actors claim to have stolen 1 GB of data from the company. htt..

과거, 해외 직구 이용 방법을 모르거나 어려워 많은 사용자들이 이용하지 못하였지만, 현재는 많은 온라인 사이트와 앱들이 쉽고 간편하게 주문을 할 수 있도록 제공하고 있어 사용자가 늘어나고 있다. 이와 같은 점을 노리고 해외 직구 쇼핑몰 앱으로 위장한 악성 앱이 발견되어 사용자들의 주의가 요구된다. 최근, 트윗을 통해 발견 된 악성 앱은 크로켓 이라는 앱을 만든 회사인 "YOLO Corp" 회사에서 만든 것처럼 위장한다. 해당 앱을 설치하고 실행하면, 다른 정상 쇼핑몰 앱과는 다르게 과도한 권한을 요구한다. "LT MALL" 악성 앱은 사용자 환경의 정보들을 원활하게 탈취하기 위해 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. "Firebase 클라우드 메시징(FCM)" 은 메..

최근 국내외에서 암호화폐에 대한 관심이 높아지면서 이를 악용하여 암호화폐 채굴 앱을 위장한 악성 앱이 등장하였다. 해당 앱은 Google Play에서 판매되었으며, 10,000건이 넘는 다운로드를 기록한 것으로 알려졌다. 또한, 9개 이상 유사한 형태의 악성 앱이 유포된 것으로 밝혀졌다. 유포된 앱들은 암호화폐 채굴의 동작은 하지 못하지만, 사용자를 속여 구독 및 구매를 유도하거나 광고를 띄우는 등의 금전적 이익을 취하는 악성 동작을 수행한다. 아래의 그림과 같이 Google Play에서 판매되었으나, 현재는 삭제되었다. 해당 앱은 우측 빨간 상자에서처럼 정상적인 사이트에서 값을 받아오는 등 정상 암호화폐 채굴 앱인 척하지만, 실제 암호화폐 채굴 동작은 하지 못한다. 그리고 아래의 그림과 같이 사용자에게..

캐나다 토론토의 한 대학에 기반을 둔 Citizen Lab은 최근 바레인 정부 및 관련 활동가를 대상으로 하는 iMessage Exploit 공격을 발견하였다. 이 공격은 'FORCEDENTRY'라는 이름의 익스플로잇이 사용되었으며, FORCEDENTRY Exploit은 2021년 2월부터 사용된 것으로 알려졌다. 해당 익스플로잇은 iOS 버전 14.4 및 14.6에서 동작 가능한 제로데이 취약점으로 Apple의 BlastDoor 보안 기능을 우회할 수 있다고 밝혀졌다. 사진 출처: Citizenlab 출처 [1] Citizenlab (2021.08.31) – Bahraini Government Hacks Activists with NSO Group Zero-Click iPhone Exploits htt..

FBI가 2020년 11월부터 미국 기업을 대상으로 사이버 공격을 진행한 OnePercent Group 관련 정보를 공유했다. FBI가 공개한 보고서에 따르면 해당 그룹은 악성 피싱 메일을 보내 사용자 PC에서 파일을 탈취하고 랜섬웨어를 실행하는 것으로 알려졌다. 또한, OnePercent 그룹은 피해자에게 직접 연락해 정상적인 협상이 이뤄지지 않으면 데이터를 유출하겠다고 협박한다고 한다. 출처 : FBI 출처 [1] CISA (2021.08.30) – FBI Releases Indicators of Compromise Associated with OnePercent Group Ransomware https://us-cert.cisa.gov/ncas/current-activity/2021/08/25/fb..

최근, 마이크로소프트 사의 클라우드 플랫폼인 애저(Azure)의 Cosmos 데이터베이스에서 취약점이 발견됐다. 이 취약점은 클라우드 인프라 보안 업체인 Wiz의 보안 연구팀이 발견했으며, “ChaosDB”라고도 불린다. “ChaosDB” 취약점은 Cosmos 데이터베이스에 있는 모든 정보에 대해 읽기, 쓰기 및 삭제 권한을 부여할 수 있는 취약점으로 악용할 경우 데이터를 임의로 조작할 수 있어 주의가 필요하다. 현재, 마이크로소프트는 해당 취약점이 있는 구성 요소를 비활성화하며 패치를 진행했고, Cosmos 데이터베이스를 사용하는 고객들에게 잠재적인 보안 침해에 대해 통지하는 등의 조치를 취했다. 출처 [1] WIZ (2021.08.30) – ChaosDB: How we hacked thousands ..

미국의 국가 사이버 보안 전담 기관인 CISA가 IoT 장비에서 발견된 취약점에 관한 보안 권고문을 발표했다. 보안 권고가 발표된 취약점은 사물 인터넷 환경에서 주로 사용하는 칼레이(Kalay) 프로토콜을 제대로 처리하지 않아 발생하는 CVE-2021-28372로 악용할 경우 공격자가 사용자 PC에서 임의의 코드를 실행할 수 있다. 해당 취약점을 발견한 맨디언트 사의 연구원은 SDK 버전을 업그레이드하거나 Authkey 또는 DTLS(Datagram Transport Layer Security) 기능을 활성화하는 것으로도 대처가 가능하다고 언급했다. 출처 : CISA 출처 [1] CISA (2021.08.30) – ICS Advisory (ICSA-21-229-01) ThroughTek Kalay P2P..