잉카인터넷 시큐리티대응센터 블로그

캐나다 정부에서 IT 기술자로 근무한 것으로 알려진 캐나다인 'Desjardins'가 “NetWalker” 랜섬웨어 공격에 연루된 혐의로 징역 80개월을 선고 받았다. "Desjardins"는 2020년 4월부터 "NetWalker" 랜섬웨어 공격으로 피해자의 네트워크에서 데이터를 탈취하고, 파일을 암호화하여 랜섬머니로 수백만 달러의 암호화폐를 요구했다. 2021년 1월경 미국 및 불가리아 법 집행 기관은 'Desjardins'를 기소하고, 해당 인물이 운영하던 데이터 유출 사이트를 포함한 다크웹 사이트를 압수했다고 밝혔다. 사진 출처: Bleeping Computer 출처 [1] Bleeping Computer (2022.01.27) – Netwalker ransomware dark web sites ..

최근 블록체인 브릿지 서비스 웜홀(Wormhole)이 해킹 공격으로 인해 가상화폐를 탈취당했다. 블록체인 브릿지 서비스는 특정 가상화폐를 블록체인에서 다른 블록체인으로 옮길 수 있게 해주는 서비스다. 피해 업체의 사고 보고서에 따르면, 이번 해킹은 솔라나(Solana)라는 블록체인에서 서명 검증을 제대로 처리하지 못해 발생하는 취약점을 악용한 것으로 알려졌다. 이와 관련해 피해 업체는 해당 취약점을 수정했으며 현재 모든 자금이 회수된 상태라고 알렸다. 사진 출처 : Twitter 출처 [1] Wormhole Blog (2022.02.02) – Wormhole Incident Report https://wormholecrypto.medium.com/wormhole-incident-report-02-02-2..

지난달 DeadBolt 랜섬웨어 조직이 대만의 네트워크 장비 업체 QNAP의 NAS 장치를 암호화하고 랜섬머니를 요구하는 사건이 발생했다. 외신에 따르면 해당 랜섬웨어는 QNAP NAS 장치의 파일을 암호화하고, 파일명에 ".deadbolt"라는 확장자를 추가한다고 알려졌다. 또한 공격자가 QNAP의 로그인 페이지를 하이재킹해 "WARNING: Your files have been locked by DeadBolt"라는 랜섬노트를 생성한다고 언급했다. 이에 대해 피해 업체는 사용자들에게 NAS가 인터넷에 노출되지 않도록 즉각적인 조치를 취할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2022.01.25) - New DeadBolt ransom..

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

최근 FBI가 QR코드를 활용해 각종 금융 정보와 크리덴셜을 훔치는 사이버 범죄에 대해 경고했다. FBI는 악의적으로 제작한 QR코드를 스캔하면 공격자의 악성 사이트로 연결되고, 개인 및 금융 정보를 요구하는 메시지가 표시된다고 알렸다. 또한 해당 기관은 QR코드를 통해 이동한 사이트에서의 결제를 지양하고, 실제 QR코드를 스캔하는 경우 원본 코드 위에 스티커를 붙이는 등 코드가 변조되지 않았는지 확인할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] Internet Crime Complaint Center (2022.01.18) - Cybercriminals Tampering with QR Codes to Steal Victim Funds https://www.ic3.gov/M..

최근 Rust 프로그래밍 언어에서 CVE-2022-21658로 불리는 권한 상승 취약점이 발견됐다. 해당 취약점은 std::fs::remove_dir_all 표준 라이브러리 함수를 제대로 처리하지 못해 발생하는 취약점이다. 외신은 이를 악용하면 권한이 없는 사용자가 파일 및 디렉터리를 삭제할 수 있다고 언급했다. 이에 대해 Rust 보안 팀은 해당 취약점에 대한 보호 기능이 있지만, 표준 라이브러리에서 올바르게 구현되지 않아 취약점이 발생했다고 알렸다. 출처 [1] SecurityAffairs (2022.01.24) - A flaw in Rust Programming language could allow to delete files and directories https://securityaffairs...

20,000개 이상의 WordPress 사이트에 설치된 플러그인에서 크로스 사이트 스크립트 취약점이 발견되었다. 이는 WP HTML Mail 플러그인의 취약점으로, WP HTML Mail WordPress 이메일 템플릿 디자이너 플러그인이다. 해당 취약점은 CVE-2022-0218로 지정되었으며, 이 취약점을 사용하면 REST-API 끝점을 실행하여 이메일의 테마 설정에 접근이 가능하다. 인증되지 않은 사용자가 액세스 권한을 획득하여 이메일 템플릿을 쉽게 변경할 수 있고, HTML 메일 편집기에 자바 스크립트 등을 삽입할 수 있다. 사진 출처: Wordfence 출처 [1] Wordfence (2022.01.25) - Unauthenticated XSS Vulnerability Patched in HTM..

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..

최근 캐나다의 연구기관 Citizen Lab이 2022 베이징 동계올림픽 공식 앱 "My 2022"에 다수의 보안 결함이 존재한다고 발표했다. 해당 연구기관은 "My 2022"가 일부 서버에 대한 SSL 인증서 검증에 실패해 서버에 전송하는 정보를 공격자 측에서 가로챈 후 변조할 수 있다고 알렸다. 또한 해당 앱이 메시지의 발신자, 수신자의 이름 및 사용자 계정 식별자 등의 메시지 관련 메타데이터를 암호화하지 않은 채 전송한다는 점도 언급했다. Citizen Lab은 베이징 동계올림픽 및 장애인 올림픽 조직 위원회에 이러한 결함을 보고했으나, 현재까지 답변을 받지 못했다고 전했다. 사진 출처 : CitizenLab 출처 [1] CitizenLab (2022.01.20) - Cross-country Exp..

Microsoft 사는 랜섬웨어로 위장한 MBR 파괴형 악성코드가 우크라이나의 공공 기관 사이트를 공격했다고 발표했다. Microsoft에서는 해당 악성코드를 "WhisperGate"라고 명명했으며 해당 악성코드로 인해 외교부, 농림부, 교육과학부, 안보 및 국방부 등 최소 15개 이상의 웹 사이트가 오프라인 상태가 되었다고 알렸다. 공격자는 웹사이트 손상 이후, 우크라이나 공공기관의 데이터를 탈취했으며 해킹 포럼에 공개했다고 밝혔지만 우크라이나 정부 측은 해킹 포럼에 게시된 정보들은 가짜이며 공격자가 우크라이나 국민들에게 정부에 대한 신뢰 약화를 야기하기 위한 목적이라고 반박했다. 사진 출처: 트위터 출처 [1] Microsoft – Destructive malware targeting Ukrainia..