잉카인터넷 시큐리티대응센터 블로그

Microsoft 가 SEO Poisoning 기법을 사용하여 SolarMarker 악성코드를 유포한 사례에 대해 경고하였다. SEO Poisoning 은 검색 결과에서 더 높은 순위를 얻기 위해 인기 있는 키워드를 사용하여 웹 사이트를 만들고 해당 사이트에 사용자가 방문하도록 유도하는 공격 방식으로, 공격자는 이렇게 제작한 웹 사이트를 통해 SolarMarker 악성코드를 유포한 것으로 알려졌다. SolarMarker 는 백도어 악성코드로 Jupyter, Polazert 및 Yello Cockatoo 라는 이름으로도 알려져 있으며, 공격자의 명령을 전달받아 악성행위를 수행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1403461404879847435 출처..

1. 악성코드 통계 악성코드 Top20 2021년5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 38,087 건이 탐지되었다. 악성코드 진단 수 전월 비교 5월에는 악성코드 유형별로 4월과 비교하였을 때 Trojan, Virus, Worm 및 Exploit의 진단 수가 증가하였고, Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 5월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 4월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 20..

1. 악성코드 통계 악성코드 Top20 2021년4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 7,962 건이 탐지되었다. 악성코드 진단 수 전월 비교 4월에는 악성코드 유형별로 3월과 비교하였을 때 Worm의 진단 수가 증가하였고, Trojan, Virus, Exploit 및 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 202..

Telegram에서 제공하는 Bot 기능을 악용하여 사용자의 데이터를 탈취하고 감염된 PC를 조작하는 ToxicEye 악성코드가 발견되었다. Telegram은 인터넷 메신져 프로그램으로 알림, 정보 열람 등 사용자가 반복적으로 해야할 일들을 대체해줄 수 있는 Bot 기능을 제공한다. 공격자는 Telegram Bot 계정을 생성하고 이를 통해 ToxicEye 악성코드에 감염된 환경에 명령을 내려 다양한 악성행위를 수행하였다. 이번에 발견된 ToxicEye 악성코드는 해커 포럼과 GitHub에 소스코드가 공개되었으며, 최근 이메일을 통해 유포된 사례가 발견되었다. ToxicEye 악성코드 실행 시, C:\Users\ToxicEye\rat 경로에 자가복제한 뒤 관리자 권한으로 실행한다. 그리고 복사한 파일이 ..

최근, 안드로이드 시스템 업데이트 앱으로 위장한 악성 앱이 발견 되었다. 해당 앱은 사용자의 정보를 원활하게 탈취하기 위해, 과도한 권한을 요구하며 ‘Background’ 로 실행하면 배터리 소모가 줄어들 것이라는 문구를 출력하여 사용자의 동의를 구한다. Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 배터리 최적화 기능을 사용하지 않는다. 이는 앱을 사용하지 않는 동안 실행하지 못하거나, 백그라운드에서 실행되는 앱의 성능이 저하되는 것을 방지하기 위한 것으로 보여진다. 해당 악성 앱은 사용자 환경의 정보들을 탈취하기 위하여 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. 원격 제어 명령어들을 확인 해 본 결과, 다양한 ..

온라인 체스 게임, 음악 스트리밍 등 합법적인 서비스를 제공하는 것처럼 위장한 광고를 통해 정보탈취형 악성코드인 Ficker Stealer가 유포되었다. Ficker Stealer 악성코드는 2020년부터 러시아어를 사용하는 포럼에서 판매되고 있으며, 이를 구매한 공격자들이 다양한 방법으로 해당 악성코드를 유포하고 있다. 이번에 발견된 사례 이외에도 최근까지 RIG Exploit Kit과 Hancitor 악성코드를 통해 유포되었다. 이번에 발견된 유포 사례의 경우 공격자들은 온라인 체스 프로그램 및 음악 스트리밍 서비스를 광고하고 있으며, 사용자가 광고를 클릭하면 Microsoft Store 및 Spotify (음악 스트리밍 프로그램)로 위장된 사이트로 연결된다. 이후 사용자가 위장된 사이트에서 파일을 ..

화웨이(Huawei) 안드로이드 기기 50만대 이상이 “Joker” 악성코드에 감염된 것으로 확인되었다. “Joker” 악성코드는 2017년부터 활동을 시작하며 알려진 안드로이드 악성코드로 Android의 공식 앱 스토어인 “Google Play”에서 자주 보였으며, 공격자들은 활동 규모를 확장하여 다양한 모바일 스토어에서 유포하였다. 화웨이 안드로이드 기기의 공식 앱 스토어인 “App Gallery”에서 정상 앱으로 위장한 10개의 악성 앱을 확인하였다. 악성 앱들은 온라인 메신저, 키보드, 카메라 등의 형태로 다양하게 분포되어 있으며, 대부분 한 개발사 (Shanxi Kuailaipai Network Technology Co., Ltd.)에 의해 개발된 것으로 알려져 있다. 해당 앱들의 누적 다운로드..

우리나라 성인의 93% 이상이 스마트폰을 사용하고 있는 요즘, 모바일을 대상으로 하는 APT 공격 그룹이 모습을 보이고 있어 주의가 필요하다. 해당 APT 그룹의 이름은 Donot Team으로 APT-C-35 라고도 불린다. 해당 그룹은 2016년부터 활동한 것으로 추정되며, 파키스탄 정부 관리를 비롯하여 카슈미르 비영리 단체 등을 대상을 타겟으로 공격을 수행한다. 지난 2020년 10월 Google Firebase Cloud를 악용하는 Firestarter 악성코드가 등장하였으며, 지난 18일에도 유사한 악성코드로 다량 유포되었다. 이번 캠페인에서는 아래의 이미지와 같이 안드로이드 업데이트 앱을 모방하여 어플리케이션을 디자인하였다. 해당 악성 앱을 실행하면 다음과 같이 악성 동작에 필요한 권한을 요구한..

최근 게이머들은 출처가 밝혀지지 않은 사이트에 게시된 게임 프로그램 광고를 보고 의심없이 파일을 다운로드하는 경향이 있다. 이러한 심리를 이용해 공격자는 게이머들을 표적으로 해당 프로그램에 악성코드를 숨겨 사용자의 PC 및 모바일을 감염시키는 사례가 증가하고 있다. 게임 개발사인 Activision이 게임 치트 프로그램을 이용한 악성코드에 대해 경고하고, 정보를 공유했다. 또한, 보안 업체 Cisco Systems는 최근 XtremeRAT이 주로 게이머를 표적으로 유포되고 있다고 발표했다. 그리고 Minecraft 모바일의 모드 프로그램으로 위장한 앱을 통해 지속적으로 광고를 출력하는 악성코드가 현재까지도 유포되고 있으며 PC뿐만 아니라 모바일을 암호화하는 랜섬웨어가 인기 게임 Cyberpunk 2077..

1. 악성코드 통계 악성코드 Top20 2021년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 101,263 건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Virus, Exploit 및 Backdoor의 진단 수가 증가하였고, Worm의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2..