잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top10 2022년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 9,727건이 탐지되었다. 악성코드 진단 수 전월 비교 10월에는 악성코드 유형별로 9월과 비교하였을 때 Trojan, Virus, Worm, Suspicious 및 Backdoor의 진단 수가 증가했다. 주 단위 악성코드 진단 현황 10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 전체적으로 증가한 추이를 보이고 있다. 2. 악성코드 동향 202..

과거 “Mirai”, “Qbot” 과 같은 봇넷 악성코드의 소스코드가 공개된 바 있다. 이러한 이유로 해당 악성코드들의 소스코드를 사용한 변종 악성코드들이 현재까지 지속적으로 발견되고 있다. 올해 상반기에도 “EnemyBot” 라는 악성코드가 발견 되었는데, 살펴 본 결과 해당 악성코드 또한 기존 소스코드를 사용한 것으로 확인되고 있다. 그래서 “EnemyBot” 을 비롯한 변종 악성코드들은 “Mirai”, “Qbot” 악성코드와 많은 공통점을 가지며, 실행 시 취약한 기기를 감염시켜 DDoS 공격을 수행한다. 공개된 소스코드 “EnemyBot” 악성코드는 소스코드와 함께 발견 되었는데, 게시자는 스스로를 “Kek Security” 소속의 악성코드 개발자라고 밝히고 있다. “Kek Security” 는 ..

최근, 보안 업체 SafeBreach가 Windows 업데이트로 위장한 PowerShell 백도어를 발견했다. 해당 업체에 따르면, 공격자가 LinkedIn 구직 안내를 가장한 피싱 메일을 통해 PowerShell 스크립트를 실행하는 악성 워드 문서를 유포하는 것으로 알려졌다. 해당 문서 파일은 VBS 및 PowerShell 스크립트 파일을 드롭하고 Windows 업데이트로 위장한 예약 작업을 등록해 VBS 파일을 실행한다. 최종적으로 PowerShell 스크립트가 실행되면 피해자 PC의 데이터를 탈취해 공격자 서버로 전송한다. SafeBreach는 해당 악성코드 발견 당시, 공격에 사용된 PowerShell 스크립트가 국내외 백신 프로그램에서 탐지되지 않았다고 밝히며 주의를 권고했다. 사진출처 : Sa..

1. 악성코드 통계 악성코드 Top10 2022년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,215건이 탐지되었다. 악성코드 진단 수 전월 비교 9월에는 악성코드 유형별로 8월과 비교하였을 때 Trojan과 Backdoor의 진단 수가 증가했고, Virus, Worm 및 Suspicious의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 9월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 8월에 비해 진단 수가 증가했지만, 셋째 주에는 감..

최근, 그리스 국세청을 사칭한 피싱 사이트에서 키로깅을 통해 정보를 탈취하는 공격이 발견됐다. 보안 업체 Cyble은 공격자가 그리스 납세자에게 세금 환급 내용으로 위장한 피싱 메일을 전송해 피싱 사이트 접속을 유도한다고 알렸다. 피싱 사이트는 그리스 국세청 페이지로 위장하고 있으며, 은행을 선택하면 해당 은행 사이트를 가장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 해당 페이지에서 아이디와 패스워드를 입력할 경우, 로그인 버튼을 누르지 않아도 키로깅을 통해 사용자의 모든 키 입력 정보를 공격자에게 실시간으로 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2022.09.14) – Phishing Campaign Targets Greek Banking Users https:..

최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M..

최근, 미국 정부 기관을 사칭해 Microsoft Office 365 계정을 탈취하는 피싱 공격이 발견됐다. 보안 업체 Confense에 따르면, 공격자가 미국 정부의 계약업체에게 프로젝트 입찰 내용으로 위장한 피싱 메일을 보내, Microsoft 계정 탈취를 유도하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속할 경우, Microsoft 로그인 입력을 유도해 사용자의 계정 정보를 탈취한다. 피싱 사이트는 HTTPS와 긴 도메인을 이용해 합법적인 사이트처럼 보이도록 위장하고 있어, 접속 페이지의 URL 주소를 확인하고 주의할 것을 권고했다. 사진출처 : Confense 출처 [1] Confense (2022.09.19) - Credential Phishing Targeting Government Con..

1. 악성코드 통계 악성코드 Top10 2022년 8월(8월 1일 ~ 8월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 12,648건이 탐지되었다. 악성코드 진단 수 전월 비교 8월에는 악성코드 유형별로 7월과 비교하였을 때 Virus, Suspicious 및 Backdoor의 진단 수가 증가했고, Trojan 및 Worm의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 8월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 7월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 ..

최근, 보안 업체 Resecurity가 다크웹과 Telegram에서 발견된 Escanor RAT에 대한 보고서를 발표했다. 보고서에 따르면, 공격자가 Escanor라는 도구를 이용해 Microsoft Office 및 Adobe PDF 문서 등에 악성코드를 삽입한 후 공격을 시도했다고 밝혀졌다. 발견된 악성코드는 Android와 PC 버전의 RAT 악성코드로, HVNC(Hidden Virtual Network Computing) 기능을 통해 피해자의 눈에 띄지 않고 시스템에서 명령을 실행할 수 있다. 또한, 모바일 버전 악성코드는 온라인 뱅킹 사용자로부터 OTP 코드를 탈취하고, 사용자 GPS 좌표 수집 및 키 입력 모니터링 등의 악성 행위를 수행한다. Resecurity의 연구원은 최근 발생한 온라인 뱅..

최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다. 해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있..