동향 240

2022년 08월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 73건으로 가장 많은 데이터 유출이 있었고, “Quantum” 랜섬웨어가 7건으로 두번째로 많이 발생했다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 42%로 가장 높은 비중을 차지했고, 캐나다가 7%, 영국이 4%, 프랑스, 네덜란드 및 이탈리아가 각각 3%로 그 뒤를 따랐다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산업별..

Office 문서에 악성코드를 추가하는 Escanor RAT

최근, 보안 업체 Resecurity가 다크웹과 Telegram에서 발견된 Escanor RAT에 대한 보고서를 발표했다. 보고서에 따르면, 공격자가 Escanor라는 도구를 이용해 Microsoft Office 및 Adobe PDF 문서 등에 악성코드를 삽입한 후 공격을 시도했다고 밝혀졌다. 발견된 악성코드는 Android와 PC 버전의 RAT 악성코드로, HVNC(Hidden Virtual Network Computing) 기능을 통해 피해자의 눈에 띄지 않고 시스템에서 명령을 실행할 수 있다. 또한, 모바일 버전 악성코드는 온라인 뱅킹 사용자로부터 OTP 코드를 탈취하고, 사용자 GPS 좌표 수집 및 키 입력 모니터링 등의 악성 행위를 수행한다. Resecurity의 연구원은 최근 발생한 온라인 뱅..

피싱 메일 주의

인보이스로 위장한 피싱 메일 주의! 최근, 인보이스로 위장한 HTML 파일을 통해 Microsoft Outlook 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 "[HardRock Invoice#1271833 17] Thanks for your order, tax invoice issued for goods dipatched"라는 제목으로 유포되며, 호주의 온라인 패션 의류 업체 H사를 사칭해 첨부파일 실행을 유도한다. 사용자가 첨부된 html 파일을 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 한다. 이때, 이메일 주소 필드에는 수신인을 타깃으로 이메일 주소가 미리 입력되어 있기 때문에 사용자들은 무심코..

악성코드를 유포하는 가짜 DDoS 보호 팝업

최근, 가짜 DDoS 보호 팝업을 통한 악성코드 유포 캠페인이 발견됐다. 보안 업체 Sucuri는 공격자가 악성코드 유포를 위해 가짜 DDoS 보호 팝업을 띄우는 스크립트를 취약한 WordPress 사이트에 삽입했다고 알렸다. 이러한 사이트에 접속할 경우 DDOS GUARD라는 프로그램으로 위장한 ISO 파일이 다운로드 되는데, 이때 해당 프로그램을 통해 얻은 인증 코드 입력을 요구하는 팝업을 띄운다. 만약 인증 코드를 얻기 위해 ISO 파일 내부의 security_install.exe 파일을 실행할 경우 “NetSupport RAT”과 "RaccoonStealer" 악성코드가 설치된다. Sucuri는 웹 사이트 관리자 계정에 강력한 암호와 2FA(이중 보안 인증)을 사용할 것을 권고했다. 사진출처 : ..

PyPI 저장소에서 발견된 악성 Python 패키지

최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C..

2022년 07월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 Top10 2022년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,848건이 탐지되었다. 악성코드 진단 수 전월 비교 7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Virus, Worm 및 Suspicious가 증가했고, Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 7월..

2022년 07월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다. 2022년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 57건으로 가장 많은 데이터 유출이 있었고, “BlackCat” 랜섬웨어가 19건으로 두번째로 많이 발생했다. 2022년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 37%로 가장 높은 비중을 차지했고, 독일이 7%, 호주, 프랑스, 캐나다 및 이탈리아가 각각 4%로 그 뒤를 따랐다. 2022년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 산업별로 비교..

피싱 메일 주의

인보이스로 위장한 피싱 메일 주의! 최근, 인보이스로 위장한 메일을 통해 Microsoft Outlook 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 "Invoice"라는 제목으로 유포되며, 메일 본문의 “Safe Sender”라는 문구를 통해 사용자로 하여금 의심을 피하고 첨부파일 실행을 유도하고 있다. 첨부된 html 파일을 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 유도한다. 이때, 이메일 주소 필드에는 메일 수신인의 이메일 주소가 미리 입력되어 있기 때문에 무심코 비밀번호를 입력하지 않도록 주의가 필요하다. 비밀번호를 입력하고 “Sign in” 버튼을 클릭할 경우 입력한 비밀번호와 사용자의 IP..

Google Play에서 정상 앱으로 위장한 악성 광고 앱 발견

미국 보안 업체 McAfee의 모바일 연구팀이 Google Play에서 새롭게 발견된 악성 앱에 대한 분석 보고서를 발표했다. 보고서에 따르면, 발견된 앱 중 다수가 배터리 최적화 등을 위한 클리너 앱으로 위장했고, 다운로드 후에는 아이콘과 이름을 변경해 모습을 숨긴다. 이후, 악성 앱을 실행하면 사용자의 모바일 기기에서 광고를 표시하는 악성 서비스를 생성한다. 또한, 사용자가 Google Play에서 악성 앱을 설치하는 즉시 실행하지 않아도 해당 악성 앱이 자동으로 동작하도록 설계됐다. 현재, McAfee는 Google에 해당 위협을 알리고, 발견된 모든 악성 앱들은 Google Play Store에서 삭제되었음을 밝혔다. 사진출처 : McAfee 출처 [1] McAfee (2022.07.28) – N..

마더보드 펌웨어에서 발견된 CosmicStrand 악성코드

최근, 러시아의 보안 업체 Kaspersky가 마더보드의 UEFI 펌웨어에서 악성코드를 발견하고 분석 보고서를 발표했다. 해당 악성코드는 "CosmicStrand"라고 불리며, ASUS와 GIGABYTE 업체의 마더보드 UEFI 펌웨어에서 발견됐다. "CosmicStrand"는 OS 로딩 프로세스를 변조하여 시스템 부팅 시 악성 페이로드를 다운로드하는 쉘코드를 실행한다고 알려졌다. Kaspersky는 이러한 유형의 악성코드는 운영체제를 다시 설치하거나 하드 드라이브를 교체하더라도 감염된 상태가 유지된다고 언급했다. 사진출처 : Kaspersky 출처 [1] Kaspersky (2022.07.25) – CosmicStrand: the discovery of a sophisticated UEFI firmwa..