잉카인터넷 시큐리티대응센터 블로그

최근, 영국의 보안 업체 Sophos가 "Qakbot" 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "Qakbot"은 다른 피해자의 메일에서 지인과 주고 받은 메일 중간에 악성 메일을 회신하는 방법으로 유포된다고 알려졌다. 회신 메일에는 악성 Excel 파일을 포함하고 있는 "eum.zip" 파일 다운로드 링크가 있으며 해당 Excel 파일을 실행할 경우 악성 매크로를 통해 “Qakbot”을 다운로드한다. 또한, 설치된 "Qakbot"은 시스템 데이터 수집과 공개 IP 검색 등의 악성 행위를 시도하고 ARP스캔을 통해 다른 시스템으로의 이동 방법을 찾는다고 밝혀졌다. 사진출처 : Sophos 출처 [1] Sophos (2022.03.10) – Qakbot injects itself into t..

최근, 보안 업체 Mandiant는 중국의 해킹 그룹 APT41이 지난해 5월부터 최소 6개의 미국 주 정부기관 네트워크에 침투한 사실을 발표했다. Mandiant에 따르면, APT41은 주로 ASP.NET 역직렬화 공격을 이용했으며, 미국 농업 종사자들을 위한 앱 USAHerds의 제로데이 취약점 또한 이용했다고 알렸다. 또한, 해당 보안 업체는 공격자들이 개인 식별 정보(PII)를 유출하는 정황을 관찰했지만, 그것을 최종적인 공격의 목표로 보기는 어렵다고 언급했다. 출처 [1] Mandiant (2022.03.08) - Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments https://www.mandiant.com/..

최근, 핵티비스트 그룹 어나니머스가 우크라이나를 지원하기 위해 400대 이상의 러시아 CCTV를 해킹했다. 외신에 따르면 해킹된 CCTV는 레스토랑, 사무실, 학교 등의 다양한 장소에 위치해 있으며, CCTV의 라이브 화면은 웹사이트를 통해 공유됐다. 또한 외신은 어나니머스가 CCTV의 라이브 화면 위에 러시아의 침략 행위를 설명하는 텍스트를 덧붙여 공유했다고 언급했다. 사진 출처 : SecurityAffairs 출처 [1] SecurityAffairs (2022.03.09) - Anonymous hacked Russian cams, websites, announced a clamorous leak https://securityaffairs.co/wordpress/128847/hacktivism/anon..

최근, 미국의 클라우드 업체 Akamai가 TCP Middlebox Reflection 라는 새로운 기술을 이용한 DDoS 공격을 탐지했다고 발표했다. Akamai는 해당 공격이 방화벽과 IDS같은 Middlebox(네트워크 트래픽 검사 및 필터링 장치)를 이용한 DRDoS 공격이며 응답 트래픽을 65배 증폭시킬 수 있다고 언급했다. 또한, 공격자들이 Middlebox에서 차단된 도메인을 Host Header로 사용해 다양한 TCP 패킷을 생성하고 Middlebox로 전송해 대량의 응답 트래픽이 피해자의 시스템으로 향하도록 만들었다고 알렸다. 해당 업체는 Snort나 방화벽 ACL(Access Control List)의 규칙 설정을 통해 TCP Middlebox Reflection 공격을 차단해야 한다고..

최근, 우크라이나의 정부기관과 은행이 대규모 DDoS 공격을 받았다. 우크라이나 특수통신정보보호국(SSSCIP)는 24일 발생한 대규모 DDoS 공격으로 일부 정부기관과 은행의 정보 시스템이 마비됐다고 알렸다. 현재, 해당 기관은 공격에 대한 정보를 수집 및 분석하고 있으며, SNS를 통해 현재 상황을 계속해서 업데이트 하겠다고 밝혔다. 또한, 사이버 공격을 받았거나 공격이 의심된다면 CERT-UA로 신고할 것을 권고했다. 사진출처 : Twitter 출처 [1] 우크라이나 특수통신정보보호국 (2022.02.24) – Чергова кібератака на сайти державних органів та банки https://cip.gov.ua/en/news/chergova-kiberataka-na-s..

최근 미국의 은행 Citibank를 대상으로 하는 피싱 캠페인이 발견됐다. 외신에 따르면 공격자들이 Citibank를 사칭한 이메일을 전송해 피싱 사이트 접속을 유도한다고 알려졌다. 피싱 사이트에 로그인 할 경우 PIN, 주민등록증 사본과 같은 정보를 요구하며 입력한 모든 정보는 공격자에게 전송된다고 밝혀졌다. 보안 전문가는 메일 발신자 주소를 확인하고 이메일 본문에 포함된 버튼을 클릭하지 않을 것을 권고했다. 사진 출처 : BitDefender 출처 [1] BitDefender (2022.02.24) – Cybercrooks Phish for Login Credentials and Data of Citibank Customers in Ongoing Spam Campaigns https://www.bit..

최근 호주의 보안 업체 Cyble이 "JesterStealer"라는 악성코드가 다크웹에서 유행하고 있다고 발표했다. 해당 악성코드는 주로 피싱 메일을 통해 유포되며 신용카드 정보와 계정 정보 같은 민감한 데이터를 탈취한다. 또한, 흔적을 남기지 않기 위해 탈취한 데이터를 메모리에 저장 후 전송하며 악성 행위를 완료하면 피해자의 시스템에서 자체 삭제된다고 알려졌다. Cyble은 불법 복제 프로그램을 다운로드하지 않고 신뢰할 수 없는 이메일의 링크 접속을 피할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.02.24) – Jester Stealer: An Emerging Info Stealer https://blog.cyble.com/2022/02/24/jester-stealer-..

최근 싱가포르의 보안 업체 CloudSEK이 인도의 EV(Electric Vehicle) 관련 업체들을 사칭한 피싱 캠페인을 발표했다. 해당 업체의 보고서에 따르면 공격자가 Google Ads와 SEO(Search Engine Optimization) 같은 인터넷 마케팅 방법을 악용해 피싱 사이트 접속을 유도한다. 피싱 사이트는 연락처와 메일 등의 개인정보 입력을 요구하는 창을 띄우며 입력한 모든 정보를 공격자에게 전송한다고 알려졌다. CloudSEK은 인도의 EV 사업 공식 사이트인 e-AMRIT를 통해 합법적인 사이트만 접속해야 한다고 권고했다. 사진출처 : CloudSEK 출처 [1] CloudSEK (2022.03.01) – Unearthing the Million Dollar Scams Targ..

최근 보안 업체 ESET이 우크라이나의 비공개 정부 네트워크를 상대로 파괴형 악성코드 IsaacWiper가 사용됐다고 발표했다. ESET에 따르면, IsaacWiper는 IOCTL의 IOCTL_STORAGE_GET_DEVICE_NUMBER 함수를 사용해 물리 드라이브들을 탐지하고, 각 디스크의 첫 번째 0x10000 바이트를 삭제하는 것으로 알려졌다. 또한, 해당 보안 업체는 IsaacWiper가 우크라이나를 대상으로 한 또다른 악성코드 HermeticWiper에 감염되지 않은 조직을 대상으로 공격을 시도했다고 언급했다. 출처 [1] ESET Research (2022.03.01) - IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine..

최근 보안 업체 CheckPoint는 Microsoft Store에서 Electron Bot이라는 악성코드가 인기 게임으로 위장해 유포되고 있다고 알렸다. 해당 보안 업체는 Electron Bot이 SEO 포이즈닝을 통해 트래픽을 특정 콘텐츠로 유도하고, 소셜 미디어 홍보 및 광고 클릭 수 조작을 수행한다고 알렸다. 보안 전문가는 이러한 피해를 예방하기 위해 리뷰가 적은 애플리케이션은 다운로드하지 않으며, 일관되고 신뢰할 수 있는 리뷰의 애플리케이션을 다운로드할 것을 권고했다. 사진 출처 : Check Point Research 출처 [1] Check Point Research (2022.02.24) - New Malware Capable of Controlling Social Media Accounts..