잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top20 2021년12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan이며 총 14,133 건이 탐지되었다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan, Exploit, Backdoor, Adware의 진단 수가 증가하고, Worm 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2021..

1. 악성코드 통계 악성코드 Top20 2021년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 11,491 건이 탐지되었다. 악성코드 진단 수 전월 비교 11월에는 악성코드 유형별로 10월과 비교하였을 때 Exploit의 진단 수가 증가하고, Trojan, Virus, Worm 및 Backdoor 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 11월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 10월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 202..

최근 코로나 백신 제조업체를 공격하는 Tardigrade 악성코드가 발견됐다. 2021년 4월에 첫번째 공격이 탐지되었으며 그 후 6개월 뒤인 2021년 10월경 두번째 시설의 피해가 나타났다. 피해 업체 두 곳 모두 코로나 백신을 제조하는 업체이며 이번 공격에 대해 분석 중이라고 밝혔다. Tardigrade 악성코드는 실행 시 업체의 중요한 정보를 탈취하고, 공격자의 명령을 통해 제어할 수 있다. 이로 인해 감염된 PC에 랜섬웨어를 다운로드한 후 실행하여 최근 중요해진 코로나 백신 생산을 방해하고, 금전 탈취를 시도한다. 출처 [1] Wired (2021.11.30) - Devious ‘Tardigrade’ Malware Hits Biomanufacturing Facilities https://www...

국가의 지원을 받는 해킹 그룹 APT37은 Windows 및 Android 기기를 감염시킬 수 있는 Chinotto 악성코드를 유포하기 시작했다. 해당 악성코드는 피싱 메일이나 스미싱 공격을 통해 유포되고 있으며 현재 한국의 언론인, 탈북자, 인권 활동가를 표적으로 삼고있다. 악성코드가 실행되면 사용자의 PC에서 정보를 탈취하고, 공격자의 C&C 서버에 연결해 전송한다. 또한, 공격자의 서버에서 명령을 받아 감염된 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.11.30) - ScarCruft surveilling North Korean defectors and human rights activists https://secu..

1. 악성코드 통계 악성코드 Top20 2021년10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 39,999 건이 탐지되었다. 악성코드 진단 수 전월 비교 10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus, Worm 및 Backdoor의 진단 수가 증가하고, Trojan 및 Exploit의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 2021년..

Google의 위협 분석 그룹(TAG, Threat Analysis Group) 의 보안 연구원이 디지털 서명을 위조해 보안 프로그램을 우회하는 악성코드를 발견했다. TAG가 발견한 악성코드는 인증서에 유효하지 않은 값을 추가해 OpenSSL을 사용하는 보안프로그램이 조작된 인증서를 사용한 PE 파일을 탐지하지 못하도록 위장한다. 현재, TAG는 Google Safe Browsing팀과 협력해 관련 사항에 대해 확산되지 않도록 차단하고 있으며, 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고 설치할 것을 권장했다. 출처 [1] bleepingcomputer (2021.09.24) - Malware devs trick Windows validation with malformed certs https:/..

최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h..

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 ..

캐나다 토론토의 한 대학에 기반을 둔 Citizen Lab은 최근 바레인 정부 및 관련 활동가를 대상으로 하는 iMessage Exploit 공격을 발견하였다. 이 공격은 'FORCEDENTRY'라는 이름의 익스플로잇이 사용되었으며, FORCEDENTRY Exploit은 2021년 2월부터 사용된 것으로 알려졌다. 해당 익스플로잇은 iOS 버전 14.4 및 14.6에서 동작 가능한 제로데이 취약점으로 Apple의 BlastDoor 보안 기능을 우회할 수 있다고 밝혀졌다. 사진 출처: Citizenlab 출처 [1] Citizenlab (2021.08.31) – Bahraini Government Hacks Activists with NSO Group Zero-Click iPhone Exploits htt..

최근, 국내외 많은 사용자를 보유하고 있는 메시지 앱 WhatsApp의 추가 옵션 기능을 제공하는 앱으로 위장한 Triada 악성코드가 등장하였다. 해당 악성코드는 'FMWhatsApp' 이름으로 유포되었으며, WhatsApp이 기존에 가지고 있지 않은 특정 대화를 숨기는 옵션, 보낸 사람이 삭제한 메시지 보기 옵션 등의 추가 기능을 제공한다고 알려졌다. Triada 악성코드는 사용자 단말기의 정보를 탈취하거나 SMS 메시지에 접근하는 등의 악성동작을 수행한다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.08.27) – Triada Trojan in WhatsApp mod https://securelist.com/triada-trojan-in-whatsapp-mod/103679/