잉카인터넷 시큐리티대응센터 블로그

최근, 가짜 DDoS 보호 팝업을 통한 악성코드 유포 캠페인이 발견됐다. 보안 업체 Sucuri는 공격자가 악성코드 유포를 위해 가짜 DDoS 보호 팝업을 띄우는 스크립트를 취약한 WordPress 사이트에 삽입했다고 알렸다. 이러한 사이트에 접속할 경우 DDOS GUARD라는 프로그램으로 위장한 ISO 파일이 다운로드 되는데, 이때 해당 프로그램을 통해 얻은 인증 코드 입력을 요구하는 팝업을 띄운다. 만약 인증 코드를 얻기 위해 ISO 파일 내부의 security_install.exe 파일을 실행할 경우 “NetSupport RAT”과 "RaccoonStealer" 악성코드가 설치된다. Sucuri는 웹 사이트 관리자 계정에 강력한 암호와 2FA(이중 보안 인증)을 사용할 것을 권고했다. 사진출처 : ..

최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C..

“XorDDoS” 악성코드는 2014년 처음 발견된 이후 최근까지 지속적으로 유포되고 있다. 공격자로부터 전달되는 명령, C&C 서버 주소 등 악성 행위에 필요한 데이터를 XOR 연산으로 디코딩하여 사용하는 특징을 가져 “XorDDoS” 라는 이름으로 명명 되었으며, IoT 장비 혹은 리눅스 서버를 감염하기 위해 ARM, x86 및 x64와 같은 다양한 Linux 아키텍처 버전으로 제작되었다. 공격자는 주로 SSH Brute Force 공격을 통해 공격 대상의 자격 증명을 획득하고 “XorDDoS” 악성코드를 설치한다. 이렇게 실행된 “XorDDoS” 는 자가복제 후 재실행, 프로세스명 변경 및 루트킷 등을 통해 탐지를 회피하려 하며 공격자의 명령을 전달받아 DDoS 공격을 수행한다. 자가복제 및 재실행..

지난 5월 경, 리눅스 환경에서 사용하는 패킷 필터를 악용하는 “BPFDoor” 악성코드가 발견됐다. 해당 악성코드는 BPF(Berkely Packet Filter)를 사용해 공격자의 C&C 서버에서 받은 패킷을 필터링한 후, 악성 행위를 수행한다. 또한, 정상적으로 연결되면 공격자가 대상 서버에서 임의의 명령을 실행할 수 있다. 자가 복제 및 실행 “BPFDoor” 악성코드를 실행하면 ‘/dev/shm/kdmtmpflush’로 자가 복제한 후, 복사한 파일의 권한을 755로 변경한다. 이 경우 자가 복제한 파일의 소유자는 모든 권한을 부여하고, 그 외 사용자는 읽기와 실행만 가능하도록 설정한다. 또한, 파일의 시간(타임스탬프 값)을 2008년에 생성된 파일로 보이도록 수정한다. 그후, --init 인자..

1. 악성코드 통계 악성코드 Top10 2022년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,848건이 탐지되었다. 악성코드 진단 수 전월 비교 7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Virus, Worm 및 Suspicious가 증가했고, Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 7월..

미국 보안 업체 McAfee의 모바일 연구팀이 Google Play에서 새롭게 발견된 악성 앱에 대한 분석 보고서를 발표했다. 보고서에 따르면, 발견된 앱 중 다수가 배터리 최적화 등을 위한 클리너 앱으로 위장했고, 다운로드 후에는 아이콘과 이름을 변경해 모습을 숨긴다. 이후, 악성 앱을 실행하면 사용자의 모바일 기기에서 광고를 표시하는 악성 서비스를 생성한다. 또한, 사용자가 Google Play에서 악성 앱을 설치하는 즉시 실행하지 않아도 해당 악성 앱이 자동으로 동작하도록 설계됐다. 현재, McAfee는 Google에 해당 위협을 알리고, 발견된 모든 악성 앱들은 Google Play Store에서 삭제되었음을 밝혔다. 사진출처 : McAfee 출처 [1] McAfee (2022.07.28) – N..

최근 “Luca Stealer” 악성코드가 출시되고, 개발자가 해당 악성코드의 오픈 소스 코드를 해커 포럼에 공개했다. 해당 악성코드는 Rust 언어를 이용해 제작되어 여러 운영 체제를 표적으로 삼을 수 있지만 현재는 윈도우 운영 체제 만을 대상으로 하는 것으로 알려져 있다. 또한, 악성코드 개발자와의 접촉에서 “Luca Stealer” 악성코드의 오픈 소스 코드를 공개한 이유는 해커 포럼에서 평판을 얻어 다음 악성코드 프로젝트를 판매하기 위함이라고 밝혔다. “Luca Stealer” 정보 탈취 악성코드는 “Chromium” 기반 브라우저와 “FireFox”를 대상으로 로그인 자격 증명, 신용 카드 및 쿠키 정보 등을 탈취한다. 또한, 암호 화폐 지갑과 다양한 메신저의 토큰을 탈취하고, 사용자의 시스템 ..

최근, 러시아의 보안 업체 Kaspersky가 마더보드의 UEFI 펌웨어에서 악성코드를 발견하고 분석 보고서를 발표했다. 해당 악성코드는 "CosmicStrand"라고 불리며, ASUS와 GIGABYTE 업체의 마더보드 UEFI 펌웨어에서 발견됐다. "CosmicStrand"는 OS 로딩 프로세스를 변조하여 시스템 부팅 시 악성 페이로드를 다운로드하는 쉘코드를 실행한다고 알려졌다. Kaspersky는 이러한 유형의 악성코드는 운영체제를 다시 설치하거나 하드 드라이브를 교체하더라도 감염된 상태가 유지된다고 언급했다. 사진출처 : Kaspersky 출처 [1] Kaspersky (2022.07.25) – CosmicStrand: the discovery of a sophisticated UEFI firmwa..

최근, 악성코드 생성에 사용되는 공격 도구 mLNK Builder 4.2 버전 업데이트가 공개됐다. 해당 도구는 다크웹을 통해 판매되고 있으며, 이 도구를 사용하면 악의적인 기능을 포함한 악성 바로가기 파일(.lnk)를 생성할 수 있다. LNK는 Windows의 로컬 파일에 대한 바로가기의 파일 확장자로, LNK 파일을 사용하면 프로그램의 전체 경로를 탐색하지 않고 빠르게 실행 파일(.exe)에 접근할 수 있다. 미국의 보안 업체 Resecurity에 따르면, 공격자들이 악성코드 전달을 위해 LNK 파일을 생성할 수 있는 도구들을 적극적으로 활용하고 있다. 또한 도구를 테스트한 결과, 해당 도구를 통해 생성된 악성 파일은 국내외 백신 솔루션에서 매우 낮은 탐지율을 갖는다고 알려졌다. 사진출처 : Rese..

최근, 미국의 보안 업체 Cyble에서 Discord를 C&C 서버로 사용하는 악성코드를 발견했다. 해당 악성코드는 "ApolloRAT"라고 불리며, 텔레그램을 통해 판매되고 있다. 이 악성코드가 실행될 경우 C&C Discord 서버와 통신하며, 공격자가 입력하는 명령어를 통해 피해자의 파일 다운로드와 브라우저 기록 수집 등의 악성 행위를 시도한다. 또한, Python으로 작성된 “ApolloRAT”는 Nuitka를 통해 C로 컴파일하는데, 이때 파일 크기가 급격히 증가하여 분석을 어렵게 한다고 알려졌다. 사진출처 : Cyble 출처 [1] Cyble (2022.07.14) – ApolloRat: Evasive Malware Compiled Using Nuitka https://blog.cyble.co..