잉카인터넷 시큐리티대응센터 블로그

정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바..

최근 원격 교육 및 업무의 비중이 늘어남에 따라 네트워크 사용빈도가 늘어나고, 광범위한 연결성을 가진 기업의 운영기술 환경(OT)이 많아졌으며 이러한 이유로 DDoS 공격이 효과적인 공격이 되었다. 이에 따라 DDoS 공격을 통해 금전을 요구하는 “랜섬디도스” 공격이 증가하였으며 랜섬웨어 공격 그룹은 추가적으로 DDoS 공격을 하겠다고 위협하기 시작했다. 암호 화폐의 가치가 높아지면서 불법적인 암호 화폐 채굴 악성코드가 성행하기 시작했고, 랜섬머니 이외의 추가적인 이득을 얻기 위해 랜섬웨어 공격 그룹은 랜섬웨어와 함께 암호화폐 채굴 악성코드를 실행시키는 “랜섬마이너”가 다시 등장하였다. 이처럼 랜섬웨어는 더 많은 금전적 이득을 챙기기 위해 더 이상 파일 암호화에 국한되지 않고, 트렌드에 맞춘 악성코드를 ..

사이버 보안 회사 ESET 에서 최근 유행하는 오디오 채팅 앱 클럽하우스로 위장한 정보 탈취형 악성 앱 BlackRock 이 발견된 사실을 게재했다. 클럽하우스는 유명인사의 실시간 대화를 들을 수 있어 인기를 끌었으나, iOS 기기만을 지원한다는 점 때문에 사용자의 불만이 있었다. 공격자는 이를 이용하여 악성 앱을 공식 안드로이드 버전 클럽하우스 앱으로 위장하고 사용자를 유인했다. 출처 : https://blog.eset.ie/2021/03/19/beware-android-trojan-posing-as-clubhouse-app/ [그림 2] 는 정상 클럽하우스 웹 사이트와 악성 앱을 배포하는 가짜 웹 사이트의 차이를 보여준다. 정상 웹 사이트는 "joinclubhouse.com" 도메인을 사용하며 iOS..

최근 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord)에서 제공하는 기능을 사용하여 사용자에게 피해를 입히는 악성코드들이 발견되고 있다. 디스코드는 사용자의 편의를 위해 다양한 기능을 제공하며 그 중 대표적인 것이 원하는 정보를 메시지로 받을 수 있도록 하는 웹훅(WebHook)과 파일 전송을 위한 CDN(Contents Delivery Network)이다. 하지만 악성코드 제작자들은 이러한 기능들을 악용하여 사용자의 정보를 탈취하거나 추가적인 페이로드 실행으로 사용자에게 피해를 입힌다. 최근 반년 동안 디스코드를 사용한 악성코드를 조사한 결과 4가지의 특징을 보였으며 올해부터는 디스코드에서 제공하는 기능을 랜섬웨어에도 적용하는 추세이다. 첫 번째 특징은 웹훅을 이용하여 수집한 정보를 공격자에..

최근 외신에 따르면 APT 36으로 알려진 파키스탄의 해커 그룹이 유포한 “ObliqueRAT” 악성코드의 새로운 버전이 발견되었다. 이번에 발견된 악성코드의 버전은 6.3.5 로, 기존에 발견된 5.2 버전과 다른 악성코드 감염 방식을 사용하고 있으며, 지속적인 업데이트를 통해 기능의 변화가 확인되고 있다. 버전별 차이점 “ObliqueRAT” 악성코드는 2019년 11월 5.2 버전이 발견되었으며, 이후 업데이트를 통해 6.3.5 버전이 발견되었다. 6.3.5 버전에서는 뮤텍스, 유포 방식, 안티 기법 및 명령 코드 추가 등 기존의 기능이 변화되었으며, 파일 탈취 및 파일 목록 검색 등의 기능이 추가되었다. 유포 방식 악성문서에서 “ObliqueRAT” 악성코드를 드랍하여 실행하는 방식에서, 파일을 ..

IcedID 악성코드 최근, IcedID가 TA551 해커 그룹에 의해 다시 모습을 드러내고 있다. 2017년에 최초로 등장한 IcedID 악성코드는 BokBot이라는 이름으로도 불린다. Microsoft Office 문서 첨부 파일과 함께 피싱 메일로 유포되며, 사용자 PC에 설치되면 원격지와 통신하여 사용자의 은행 정보를 비롯한 각종 정보를 탈취한다. 감염 방식 IcedID는 감염된 PC에 대해 원격지와 연결되어 있는 경우, 악성 코드의 기능을 업데이트하거나 또 다른 악성 동작을 수행할 수 있다. 2차 피해를 유발할 수 있는 IcedID 악성코드는 안티바이러스 탐지를 우회하기 위해 다양한 감염 방식을 사용한다. 이메일의 악성 문서 첨부 파일을 통한 유포 방식은 동일하지만 최종 페이로드를 인젝션하기 전..

1. 악성코드 통계 악성코드 Top20 2021년2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Miner (마이너)이며 총 21,100 건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Trojan, Virus 및 Exploit의 진단 수가 증가하였고, Worm과 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2월에는 ..

최근 외신에 따르면 “Silver Spallow”로 불리우는 새로운 Mac용 악성코드를 발견했습니다. “Silver Spallow”는 Apple의 새로운 M1 칩용 Native Code를 대상으로 하는 악성코드로, Mac OS를 대상으로 만들어졌습니다. Apple에서 개발한 M1칩이 한국시간 기준 2020년 11월 11일에 공개되었습니다. 해당 M1 칩을 탑재한 제품 군들이 악성코드 제작자들의 표적이 되어 프로토타입의 악성코드들이 등장하고 있습니다. M1 칩의 경우 출시한지 얼마 되지 않은 칩셋으로 보안 연구가 충분히 진행되지 않아 악성코드 제작자 또한 이러한 점을 악용하여 제작 중 인 것으로 보입니다. 외신에 따르면 “Silver Spallow”는 미국, 영국, 캐나다 등 153개국에서 약 29,139..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..

1. 개요 및 분석 정보 1-1. 개요 최근 디스코드에서 제공하는 웹훅을 악용하여 디스코드 사용자의 데이터를 훔치는 “TroubleGrabber” 악성코드가 발견되었다. 디스코드(Discord)는 게임상에서 음성 채팅을 위해 제작된 프로그램으로 약 2억 명 이상의 사용자가 있으며, 자체적으로 웹훅(Webhook) 기능을 제공한다. 웹훅은 서버에서 작업이 발생했을 때 그 정보를 외부에 전달하는 방식을 의미하며, 디스코드에서는 이 기능을 이용하여 원하는 정보를 메시지로 받을 수 있다. 이번에 발견된 "TroubleGrabber"는 디스코드에서 제공하는 웹훅을 악용하여 사용자 PC에서 정보를 탈취하는 데 사용하며, 추가로 특정 버전에서는 디스코드 클라이언트 파일을 수정하여 사용자가 로그인할 때마다 공격자에게 ..