잉카인터넷 시큐리티대응센터 블로그

최근, 악성코드 생성에 사용되는 공격 도구 mLNK Builder 4.2 버전 업데이트가 공개됐다. 해당 도구는 다크웹을 통해 판매되고 있으며, 이 도구를 사용하면 악의적인 기능을 포함한 악성 바로가기 파일(.lnk)를 생성할 수 있다. LNK는 Windows의 로컬 파일에 대한 바로가기의 파일 확장자로, LNK 파일을 사용하면 프로그램의 전체 경로를 탐색하지 않고 빠르게 실행 파일(.exe)에 접근할 수 있다. 미국의 보안 업체 Resecurity에 따르면, 공격자들이 악성코드 전달을 위해 LNK 파일을 생성할 수 있는 도구들을 적극적으로 활용하고 있다. 또한 도구를 테스트한 결과, 해당 도구를 통해 생성된 악성 파일은 국내외 백신 솔루션에서 매우 낮은 탐지율을 갖는다고 알려졌다. 사진출처 : Rese..

최근, 미국의 보안 업체 Cyble에서 Discord를 C&C 서버로 사용하는 악성코드를 발견했다. 해당 악성코드는 "ApolloRAT"라고 불리며, 텔레그램을 통해 판매되고 있다. 이 악성코드가 실행될 경우 C&C Discord 서버와 통신하며, 공격자가 입력하는 명령어를 통해 피해자의 파일 다운로드와 브라우저 기록 수집 등의 악성 행위를 시도한다. 또한, Python으로 작성된 “ApolloRAT”는 Nuitka를 통해 C로 컴파일하는데, 이때 파일 크기가 급격히 증가하여 분석을 어렵게 한다고 알려졌다. 사진출처 : Cyble 출처 [1] Cyble (2022.07.14) – ApolloRat: Evasive Malware Compiled Using Nuitka https://blog.cyble.co..

1. 악성코드 통계 악성코드 Top10 2022년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 354건이 탐지되었다. 악성코드 진단 수 전월 비교 6월에는 악성코드 유형별로 5월과 비교하였을 때 Virus의 진단 수가 증가하고, Trojan, Worm, Backdoor 및 Adware의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 5월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 6월(6월 1..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다. 2022년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 36건으로 가장 많은 데이터 유출이 있었고, “Vice Society” 랜섬웨어가 11건으로 두번째로 많이 발생했다. 2022년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 39%로 가장 높은 비중을 차지했고, 이탈리아가 9%, 프랑스 및 영국이 각각 6%, 캐나다 및 독일이 5%로 그 뒤를 따랐다. 2022년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건..

2분기 국가별 해커그룹 동향 보고서 러시아 러시아 정부의 지원을 받는 해커그룹들은 오랜 기간 활동하였으며, 그 수도 계속해서 증가하고 있다. CERT-UA (우크라이나 국가 컴퓨터 비상 대응 팀)에 따르면, 러시아의 해커그룹인 Gamaredon 그룹과 Sandworm 그룹의 것으로 확인되는 APT 공격이 지난 3월과 4월에 이어 6월에도 발생한 것으로 전해진다. 그리고 KillNet이라고 불리는 친러시아 해커그룹이 새롭게 등장하였다. Gamaredon 러시아의 Gamaredon 해커그룹은 ‘Primitive Bear’, ‘Actinium’ 또는 ‘Shuckworm’ 이라고 불린다. 해당 해커그룹은 2013년부터 활동한 것으로 알려졌으며, 작년 4분기와 올해 1분기에 이어 2분기에도 활동이 발견되었다. 이..

1. 랜섬웨어 피해 사례 2022년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “락빗(LockBit)” 및 “바이스 소사이어티(Vice Society)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 미국 모션 제어 기술 업체 Parker-Hannifin가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 5월과 6월에는 유럽 전자도서관 앱 제공업체 EKZ와 이탈리아 팔레르모시가 각각 “락빗(LockBit)”과 “바이스 소사이어티(Vice Society)” 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조..

최근 미국의 보안 업체 Cyble에서 "PennyWise"라는 새로운 악성코드를 발견하고 분석 보고서를 발표했다. 해당 악성코드는 비트코인 채굴 소프트웨어로 위장하고 있으며, 다운로드 링크가 포함된 YouTube 동영상 페이지를 통해 유포된다. 이 악성코드가 실행될 경우 피해자의 암호 화폐 지갑 정보와 브라우저 쿠키를 수집해 공격자 C&C 서버로 전송한다. Cyble은 암호를 주기적으로 업데이트하고 확인되지 않은 사이트에서 불법 복제 소프트웨어를 다운로드하지 않을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.06.30) – PennyWise Stealer: An Evasive Infostealer Leveraging YouTube To Infect Users https://b..

최근 이탈리아의 사이버 보안 업체 Cleafy가 스페인의 BBVA 은행 계좌를 표적으로 하는 "Revive"악성코드 분석 보고서를 발표했다. 해당 악성코드는 BBVA 은행 계좌에 로그인하는 데 필요한 2FA(2단계 인증) 앱을 사칭해 다운로드를 유도한다. 피해자의 시스템에 "Revive"가 설치되면, 백그라운드에서 키로거로 작동해 장치에 입력하는 모든 것을 기록하고 주기적으로 C2에 전송한다. 또한, Cleafy는 "Revive"가 오픈 소스 스파이웨어 "Teardroid"와 API, 웹 프레임워크 및 기능에서 유사점을 보인다고 언급했다. 사진 출처 : Cleafy 출처 [1] Cleafy (2022.06.28) - Revive: from spyware to Android banking trojan ht..

최근, MIT의 연구원들이 Apple 사의 M1 CPU에서 발생하는 취약점을 발견하고 분석 보고서를 발표했다. 해당 연구원들에 따르면 이 취약점은 "PACMAN"이라고 불리며 Apple M1 CPU 에서 포인터 인증(PAC)을 우회할 수 있는 하드웨어 공격이라고 알려졌다. 또한, 공격자들이 악용할 경우 M1 CPU를 사용하는 시스템에서 임의의 코드를 실행할 수 있다고 알렸다. Apple은 “이 취약점이 사용자에게 즉시 위험을 초래하지 않으며, 운영체제 보안을 우회하기에 충분하지 않다."라고 언급했다. 출처 [1] Packman Attack (2022.06.09) – PACMAN Attacking ARM Pointer Authentication with Speculative Execution https:/..

최근, NCSC-FI(핀란드 국가 사이버 보안 센터)에서 "FluBot" 악성 앱 캠페인을 발표했다. 해당 기관에 따르면 "FluBot"이 음성 메일과 소포 배달에 관련된 내용의 SMS를 통해 유포되었으며, 이 악성 앱에 감염될 경우 사용자의 데이터를 탈취하고 확산을 위해 다른 디바이스로 악성 SMS를 전송한다. NCSC-FI는 해당 악성 앱을 설치했을 경우 공장 초기화를 통해 디바이스를 복구할 것을 권고했다. 사진출처 : NCSC-FI 출처 [1] NCSC-FI (2022.05.10) – ​FluBot-haittaohjelmaa levitetään jälleen tekstiviestitse https://www.kyberturvallisuuskeskus.fi/fi/varoitus_1/2022