악성코드357 Follina 취약점을 이용한 Woody RAT 악성코드 최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다. 해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있.. 2022. 8. 23. 악성코드를 유포하는 가짜 DDoS 보호 팝업 최근, 가짜 DDoS 보호 팝업을 통한 악성코드 유포 캠페인이 발견됐다. 보안 업체 Sucuri는 공격자가 악성코드 유포를 위해 가짜 DDoS 보호 팝업을 띄우는 스크립트를 취약한 WordPress 사이트에 삽입했다고 알렸다. 이러한 사이트에 접속할 경우 DDOS GUARD라는 프로그램으로 위장한 ISO 파일이 다운로드 되는데, 이때 해당 프로그램을 통해 얻은 인증 코드 입력을 요구하는 팝업을 띄운다. 만약 인증 코드를 얻기 위해 ISO 파일 내부의 security_install.exe 파일을 실행할 경우 “NetSupport RAT”과 "RaccoonStealer" 악성코드가 설치된다. Sucuri는 웹 사이트 관리자 계정에 강력한 암호와 2FA(이중 보안 인증)을 사용할 것을 권고했다. 사진출처 : .. 2022. 8. 23. PyPI 저장소에서 발견된 악성 Python 패키지 최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C.. 2022. 8. 11. 리눅스 장비를 노리는 XorDDoS 악성코드 “XorDDoS” 악성코드는 2014년 처음 발견된 이후 최근까지 지속적으로 유포되고 있다. 공격자로부터 전달되는 명령, C&C 서버 주소 등 악성 행위에 필요한 데이터를 XOR 연산으로 디코딩하여 사용하는 특징을 가져 “XorDDoS” 라는 이름으로 명명 되었으며, IoT 장비 혹은 리눅스 서버를 감염하기 위해 ARM, x86 및 x64와 같은 다양한 Linux 아키텍처 버전으로 제작되었다. 공격자는 주로 SSH Brute Force 공격을 통해 공격 대상의 자격 증명을 획득하고 “XorDDoS” 악성코드를 설치한다. 이렇게 실행된 “XorDDoS” 는 자가복제 후 재실행, 프로세스명 변경 및 루트킷 등을 통해 탐지를 회피하려 하며 공격자의 명령을 전달받아 DDoS 공격을 수행한다. 자가복제 및 재실행.. 2022. 8. 10. 리눅스 환경에서 패킷 필터를 악용하는 BPFDoor 악성코드 발견 지난 5월 경, 리눅스 환경에서 사용하는 패킷 필터를 악용하는 “BPFDoor” 악성코드가 발견됐다. 해당 악성코드는 BPF(Berkely Packet Filter)를 사용해 공격자의 C&C 서버에서 받은 패킷을 필터링한 후, 악성 행위를 수행한다. 또한, 정상적으로 연결되면 공격자가 대상 서버에서 임의의 명령을 실행할 수 있다. 자가 복제 및 실행“BPFDoor” 악성코드를 실행하면 ‘/dev/shm/kdmtmpflush’로 자가 복제한 후, 복사한 파일의 권한을 755로 변경한다. 이 경우 자가 복제한 파일의 소유자는 모든 권한을 부여하고, 그 외 사용자는 읽기와 실행만 가능하도록 설정한다. 또한, 파일의 시간(타임스탬프 값)을 2008년에 생성된 파일로 보이도록 수정한다. 그후, --init 인.. 2022. 8. 9. 2022년 07월 악성코드 동향 보고서 1. 악성코드 통계 악성코드 Top10 2022년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,848건이 탐지되었다. 악성코드 진단 수 전월 비교 7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Virus, Worm 및 Suspicious가 증가했고, Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 7월.. 2022. 8. 5. 이전 1 ··· 14 15 16 17 18 19 20 ··· 60 다음
