잉카인터넷 시큐리티대응센터 블로그

우리나라 성인의 93% 이상이 스마트폰을 사용하고 있는 요즘, 모바일을 대상으로 하는 APT 공격 그룹이 모습을 보이고 있어 주의가 필요하다. 해당 APT 그룹의 이름은 Donot Team으로 APT-C-35 라고도 불린다. 해당 그룹은 2016년부터 활동한 것으로 추정되며, 파키스탄 정부 관리를 비롯하여 카슈미르 비영리 단체 등을 대상을 타겟으로 공격을 수행한다. 지난 2020년 10월 Google Firebase Cloud를 악용하는 Firestarter 악성코드가 등장하였으며, 지난 18일에도 유사한 악성코드로 다량 유포되었다. 이번 캠페인에서는 아래의 이미지와 같이 안드로이드 업데이트 앱을 모방하여 어플리케이션을 디자인하였다. 해당 악성 앱을 실행하면 다음과 같이 악성 동작에 필요한 권한을 요구한..

최근 게이머들은 출처가 밝혀지지 않은 사이트에 게시된 게임 프로그램 광고를 보고 의심없이 파일을 다운로드하는 경향이 있다. 이러한 심리를 이용해 공격자는 게이머들을 표적으로 해당 프로그램에 악성코드를 숨겨 사용자의 PC 및 모바일을 감염시키는 사례가 증가하고 있다. 게임 개발사인 Activision이 게임 치트 프로그램을 이용한 악성코드에 대해 경고하고, 정보를 공유했다. 또한, 보안 업체 Cisco Systems는 최근 XtremeRAT이 주로 게이머를 표적으로 유포되고 있다고 발표했다. 그리고 Minecraft 모바일의 모드 프로그램으로 위장한 앱을 통해 지속적으로 광고를 출력하는 악성코드가 현재까지도 유포되고 있으며 PC뿐만 아니라 모바일을 암호화하는 랜섬웨어가 인기 게임 Cyberpunk 2077..

1. 악성코드 통계 악성코드 Top20 2021년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 101,263 건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Virus, Exploit 및 Backdoor의 진단 수가 증가하였고, Worm의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2..

정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바..

최근 원격 교육 및 업무의 비중이 늘어남에 따라 네트워크 사용빈도가 늘어나고, 광범위한 연결성을 가진 기업의 운영기술 환경(OT)이 많아졌으며 이러한 이유로 DDoS 공격이 효과적인 공격이 되었다. 이에 따라 DDoS 공격을 통해 금전을 요구하는 “랜섬디도스” 공격이 증가하였으며 랜섬웨어 공격 그룹은 추가적으로 DDoS 공격을 하겠다고 위협하기 시작했다. 암호 화폐의 가치가 높아지면서 불법적인 암호 화폐 채굴 악성코드가 성행하기 시작했고, 랜섬머니 이외의 추가적인 이득을 얻기 위해 랜섬웨어 공격 그룹은 랜섬웨어와 함께 암호화폐 채굴 악성코드를 실행시키는 “랜섬마이너”가 다시 등장하였다. 이처럼 랜섬웨어는 더 많은 금전적 이득을 챙기기 위해 더 이상 파일 암호화에 국한되지 않고, 트렌드에 맞춘 악성코드를 ..

사이버 보안 회사 ESET 에서 최근 유행하는 오디오 채팅 앱 클럽하우스로 위장한 정보 탈취형 악성 앱 BlackRock 이 발견된 사실을 게재했다. 클럽하우스는 유명인사의 실시간 대화를 들을 수 있어 인기를 끌었으나, iOS 기기만을 지원한다는 점 때문에 사용자의 불만이 있었다. 공격자는 이를 이용하여 악성 앱을 공식 안드로이드 버전 클럽하우스 앱으로 위장하고 사용자를 유인했다. 출처 : https://blog.eset.ie/2021/03/19/beware-android-trojan-posing-as-clubhouse-app/ [그림 2] 는 정상 클럽하우스 웹 사이트와 악성 앱을 배포하는 가짜 웹 사이트의 차이를 보여준다. 정상 웹 사이트는 "joinclubhouse.com" 도메인을 사용하며 iOS..

최근 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord)에서 제공하는 기능을 사용하여 사용자에게 피해를 입히는 악성코드들이 발견되고 있다. 디스코드는 사용자의 편의를 위해 다양한 기능을 제공하며 그 중 대표적인 것이 원하는 정보를 메시지로 받을 수 있도록 하는 웹훅(WebHook)과 파일 전송을 위한 CDN(Contents Delivery Network)이다. 하지만 악성코드 제작자들은 이러한 기능들을 악용하여 사용자의 정보를 탈취하거나 추가적인 페이로드 실행으로 사용자에게 피해를 입힌다. 최근 반년 동안 디스코드를 사용한 악성코드를 조사한 결과 4가지의 특징을 보였으며 올해부터는 디스코드에서 제공하는 기능을 랜섬웨어에도 적용하는 추세이다. 첫 번째 특징은 웹훅을 이용하여 수집한 정보를 공격자에..

최근 외신에 따르면 APT 36으로 알려진 파키스탄의 해커 그룹이 유포한 “ObliqueRAT” 악성코드의 새로운 버전이 발견되었다. 이번에 발견된 악성코드의 버전은 6.3.5 로, 기존에 발견된 5.2 버전과 다른 악성코드 감염 방식을 사용하고 있으며, 지속적인 업데이트를 통해 기능의 변화가 확인되고 있다. 버전별 차이점 “ObliqueRAT” 악성코드는 2019년 11월 5.2 버전이 발견되었으며, 이후 업데이트를 통해 6.3.5 버전이 발견되었다. 6.3.5 버전에서는 뮤텍스, 유포 방식, 안티 기법 및 명령 코드 추가 등 기존의 기능이 변화되었으며, 파일 탈취 및 파일 목록 검색 등의 기능이 추가되었다. 유포 방식 악성문서에서 “ObliqueRAT” 악성코드를 드랍하여 실행하는 방식에서, 파일을 ..

IcedID 악성코드 최근, IcedID가 TA551 해커 그룹에 의해 다시 모습을 드러내고 있다. 2017년에 최초로 등장한 IcedID 악성코드는 BokBot이라는 이름으로도 불린다. Microsoft Office 문서 첨부 파일과 함께 피싱 메일로 유포되며, 사용자 PC에 설치되면 원격지와 통신하여 사용자의 은행 정보를 비롯한 각종 정보를 탈취한다. 감염 방식 IcedID는 감염된 PC에 대해 원격지와 연결되어 있는 경우, 악성 코드의 기능을 업데이트하거나 또 다른 악성 동작을 수행할 수 있다. 2차 피해를 유발할 수 있는 IcedID 악성코드는 안티바이러스 탐지를 우회하기 위해 다양한 감염 방식을 사용한다. 이메일의 악성 문서 첨부 파일을 통한 유포 방식은 동일하지만 최종 페이로드를 인젝션하기 전..

1. 악성코드 통계 악성코드 Top20 2021년2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Miner (마이너)이며 총 21,100 건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Trojan, Virus 및 Exploit의 진단 수가 증가하였고, Worm과 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2월에는 ..