잉카인터넷 시큐리티대응센터 블로그

최근 300개 이상의 금융 앱을 표적으로 하는 공격이 Anubis 악성코드가 발견되었다. 해당 악성 앱은 안드로이드 단말기를 대상으로 Orange SA 앱을 위장하여 유포되었다. 2016년부터 활동한 것으로 알려진 Anubis 악성코드는 2020년, 쇼핑 및 은행 앱을 대상으로 하는 대규모 캠페인을 통해 발견된 바 있다. 해당 캠페인에서는 로그인 자격증명을 탈취하는 등의 악성 동작을 수행하였으나, 최근 공격에서는 녹음, 키로깅, DB 정보 탈취 등으로 악성 동작이 확대되었다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Anubis Android malware returns to target 394 financial apps https:..

지난 6일 Apache의 Log4j 제로데이 취약점이 발견되어, 이에 대해 업데이트를 발표하였다. 해당 취약점은 Apache의 오픈 소스인 Log4j 라이브러리 취약점으로 CVE-2021-44228 로 지정되었다. Log4j는 클라우드 서비스를 비롯하여 Apple, Amazon과 같은 소프트웨어에서도 사용되기에 해당 취약점이 악용되면 큰 피해가 발생할 것으로 추정된다. Apache는 CVE-2021-44228 취약점을 해결하기 위해 Log4j 2.15.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다. 사진 출처: Apache 홈페이지 출처 [1] Logging Apache (2021.12.13) - Apache Log4j Security Vulnerabilities https://..

독일의 한 보안회사, G DATA에서 STOP 랜섬웨어의 암호화 동작을 방지하는 백신을 출시하였다. 해당 백신은 STOP 랜섬웨어의 악성동작 자체를 막지는 못하지만, 파일의 암호화 동작을 차단할 수 있다고 전해진다. STOP 랜섬웨어의 암호 해독 소프트웨어는 지난 2019년 10월에 출시된 바가 있다. 하지만 그 이후로 다양한 변종이 등장하였기 때문에 최신 변종에 대해서는 G DATA의 백신을 통해 추가적인 암호화 동작을 막는 것이 최선의 방법으로 알려진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - STOP Ransomware vaccine released to block encryption https://www.bleepingcom..

최근 Gitlab과 Atlassian Confluence를 대상으로 Cerber랜섬웨어가 다시 등장하였다. Cerber랜섬웨어는 2016년에 처음 나타나 2019년까지 지속적으로 모습을 드러내다 서서히 사라졌다. Cerber랜섬웨어 변종은 과거와 달리 더욱 강력해진 모습으로 돌아왔다. Windows를 포함하여 Linux 시스템까지 공격 대상을 확대하고 Gitlab과 Atlassian Confluence의 원격코드 실행 취약점을 악용하여 서버에 접근하고, 악성 동작을 수행한다. 이때 사용된 취약점은 CVE-2021-26084과 CVE-2021-22205이다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - New Cerber ransomwar..

지난 11월 Cuba 랜섬웨어의 배후 그룹은 정보 및 의료, 금융 등의 기관을 공격하였다. 이로 인해 적어도 49개가 넘는 기관이 피해를 입었고, 이에 대하여 미국 연방수사국(FBI)은 관련된 세부 정보를 발표하였다. Cuba 랜섬웨어는 2019년 최초로 등장하였으며, 현재까지 4,390만 달러가 넘는 이익을 창출한 것으로 알려진다. 해당 랜섬웨어는 주로 피싱 메일, MS Exchange 서버의 취약점, RDP 도구 등을 사용하여 사용자의 네트워크에 접근하고, 그 후 파일 암호화 등의 공격을 수행한다. 사진 출처: FBI 출처 [1] Securityweek (2021.12.08) - FBI Warns of Cuba Ransomware Attacks on Critical Infrastructure http..

코로나19가 지속적으로 확산되는 가운데 최근, 오미크론 변종이 발견되어 화제가 되고 있다. 이러한 뉴스를 악용하여 일부 대학을 표적으로 하는 피싱 메일이 다량 발견되었다. Proofpoint에 따르면, 피싱 메일은 방학 시즌을 맞이한 학생 및 교직원을 대상으로 "Information Regarding COVID-19 Omicron Variant"과 같은 제목으로 유포되었다. 메일에는 대학 계정 자격증명을 탈취하기 위해 공식 로그인 페이지를 위장한 URL이나 htm파일이 첨부 되어있다. 사진 출처: Proofpoint 출처 [1] Proofpoint (2021.12.08) - University Targeted Credential Phishing Campaigns Use COVID-19, Omicron T..

이스라엘을 기반으로 하는 NSO 그룹의 Pegasus Spyware가 미국 국무부 관리의 iPhone에서 발견되었다. 최소 9명의 직원이 해킹을 당한 것으로 알려지며, NSO 그룹은 이에 대해 해당 스파이웨어의 판매 이후 공격에 대해서 알지 못한다고 밝혔다. Pegasus Spyware는 녹음, 녹화 및 사용자 정보 탈취 등 각종 원격제어가 가능한 소프트웨어로, 지난 11월 Apple은 NSO 그룹과 그 모회사인 Q Cyber Technologies를 상대로 Apple 사용자 감시 및 표적 공격에 대해 미국 연방 법원에 소송을 제기한 바 있다. 사진 출처: Apple 출처 [1] Securityaffairs (2021.12.07) - NSO Group spyware used to compromise iP..

지난 11월에 Delta-Montrose Electric Association(DMEA)는 랜섬웨어 공격을 받아 일부 시스템이 중단되었다. DMEA는 콜로라도주 몬트로즈에 지역 전기 협동 조합으로 Touchstone Energy 연맹에 속하고 있다. 해당 공격으로 DMEA의 내부 네트워크 기능은 90%가량 손상되었으며 전화, 이메일, 청구 및 고객 계정 시스템이 중단되었다고 전해진다. 아직까지 어떠한 랜섬웨어의 공격인지 밝혀진 바는 없으며, 아래의 그림과 같이 DMEA의 사이트에서 관련 정보를 전달하며 12월 6일에서 10일 사이에 업무를 재개할 것이라 알렸다. 사진 출처: DMEA 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cybera..

최근, Nobelium해커그룹의 새로운 악성 코드인 Ceeloader가 발견되었다. Nobelium 해커그룹은 APT29 또는 CozyBear 등으로 불리며, 러시아의 연방 대외 정보국을 배후로 두고 있는 것으로 알려져 있다. 그리고 이 그룹은 작년 미국의 SolarWinds 공급망 공격의 배후로 추정된다. Ceeloader 악성코드는 Cobalt Strike BEACON 에 의해 사용자 PC에 설치되며, 다운로더의 동작을 수행한다. 출처 [1] Mandiant (2021.12.07) - Suspected Russian Activity Targeting Government and Business Entities Around the Globe https://www.mandiant.com/resources/..

Microsoft DCU는 중국을 배후로 둔 해커그룹인 Nickel의 공격에 대응하여 수십 개의 악성 사이트를 차단하였다. 이들은 지난 2일 버지니아 동부 지역의 미국 지방 법원에 탄원서를 제출하였으며, 빠르게 승인되어 6일에 관련된 악성 웹 사이트를 모두 제어하였다고 전해진다. Nickel 그룹은 2016년부터 활동이 발견되었으며, APT15, KE3CHANG, Royal APT 등으로 불리기도 한다. 특히 북미, 남미, 유럽 및 아프리카의 외교 기관이나 기업을 대상으로 공격을 수행하였다. 사진 출처: Microsoft 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cyberattacks https://blogs.microsoft.com/..