잉카인터넷 시큐리티대응센터 블로그

1. 개요 잉카인터넷 대응팀은 2012년 10월 24일 국내 특정 웹 사이트가 침해사고를 입어 개인 구직 정보내용 문서처럼 위장된 악성파일이 관리자 몰래 은밀히 등록되고, 웹 사이트 관리자가 의도하지 않게 중개지 역할로 악용되어 또 다른 기업의 표적형 공격방식으로 사용중인 정황을 포착하였다. 해당 악성파일은 ZIP 방식의 압축된 형식으로 유포되고 있고, 압축파일 내부에는 MS Word 문서처럼 아이콘과 확장명 등을 위장한 실행파일(EXE)이 포함되어 있다. 사용자가 문서파일(DOC)로 오인하고 실행할 경우 내부에 포함되어 있는 실제 이력서 문서파일이 설치된 후 실행되어 사용자에게는 실제 문서파일이 실행된 것처럼 보이도록 나름의 속임수 기법을 사용하였다. 특히, 악성파일은 마치 정상적인 파일처럼 둔갑하기 ..

1. 개 요 최근 국내 가수 싸이의 강남스타일이 전세계적으로 엄청난 인기를 누리고 있다. 미국 빌보드 차트에서는 매주 한국인 가수 최초의 1위 탄생에 관심이 모아지고 있으며, 이미 유럽, 호주, 중국 등지 에서는 각국 차트 1위를 석권하고 있다. 이러한 와중에 해외 보안 업체 등을 통해 중국에서 강남스타일의 인기를 이용하는 악성 애플리케이션 출현에 대한 보고가 있었다. 민감할 수 있는 개인 정보에 대한 유출 위험이 있다는 보고이며, 해외 비공식 마켓을 이용하는 사용자들은 이와 같은 강남스타일 위장형 악성 애플리케이션에 대한 각별한 주의가 요망되고 있다. 2. 악성 애플리케이션 정보 해당 악성 애플리케이션은 공식 마켓(구글 플레이)에서는 배포되지 않고 있으며, 아래의 그림과 같이 해외의 비공식 마켓 등을 ..

1. 전자금융사기용 KRBanker 2번 사기를 친다. 잉카인터넷 대응팀은 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 새로운 형태로 진화되고 있는 이상징후를 포착하였다. 2012년 6월 초 부터 변종별로 시리즈가 꾸준히 발견되고 있는 국내 전자금융사기용 악성파일(KRBanker)은 초기 호스트파일(hosts)을 이용하는 방식이 유행한 바 있고, 다음으로 호스트파일을 사용하지 않고 독립적으로 활동하는 방식이 발견된 바 있다. 최근에는 피싱사이트 차단 시간이 짧아지고, 악성파일의 생존시간을 최대화하기 위해서 C&C 서버를 통한 신규 피싱사이트로 자동업데이트 하는 방법 등의 새로운 기술과 결합하여 사용되고 있었다. 그러나 2012년 10월 18일에 발견된 형태는 인터넷 뱅킹을 접속하지 않아도 가짜 ..

■ 당신의 소중한 예금 밤새 안녕하십니까? 잉카인터넷 대응팀은 2012년 10월 09일 오전, 국내 인터넷 뱅킹 사용자를 노린 악성파일(KRBanker) 변종을 어제에 이어 오늘도 추가 발견하였고, 시시각각 새로운 변종이 제작 시도되고 있는 정황을 포착하였다. 더불어 공격자가 사용하는 중국 서버를 집중 모니터링해 본 결과 수시로 피싱사이트 도메인을 바꿔가면서 변종을 제작하는 것도 확인된 상태이다. 이처럼 최근 수개월 사이에 인터넷 뱅킹용 보안 위협이 가파른 증가 추세를 보이고 있다. 공개된 자료에 의하면 2012년 09월에만 금융 피싱사이트 피해접수가 총 122건에 달하고, 그 피해액은 약 8억 8천만원에 상당한다는 매우 충격적인 내용이 언론을 통해서 일부 알려진 바 있다. 일부 금융 관계자는 전자금융 ..

1. 개 요 잉카인터넷 대응팀은 최근 APT 공격과 관련한 모니터링중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용하여 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착하였다. 최근 국내외적으로 이슈가 되고있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있으며, 감염될 경우 키로거 기능 등을 수행하는 것으로 미루어보아 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다. [정보]한글 취약점을 악용한 악성파일 유포 주의! ☞ http://erteam.nprotect.com/314 [긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 ☞ http://erteam.nprotect.com/297 [주의]악성 HWP ..

1. 개 요 최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다. 2. 유포 및 감염 증상 해당 악성 애플리케이션은 2가지의 유포 방..

1. 개 요 잉카인터넷 대응팀에서는 최근 중국의 비공식 안드로이드 마켓에서 스마트폰 기기 정보에 대한 수집 및 외부 유출을 시도하는 애플리케이션을 발견하였다. 해당 애플리케이션은 정상적으로 스마트폰에 대한 각종 정보를 수집하는 것으로 소개되고 있으나, 감염된 스마트폰이 루팅되어 있을 경우 루트 권한 획득을 통해 추가적인 애플리케이션 설치 및 수집된 정보를 외부로 유출하는 등 악의적인 동작을 수행하는 것으로 확인되었다. 애플리케이션이 루트 권한을 획득할 경우 상황에 따라 외부와 지속적인 통신을 시도하여 사용자 몰래 수많은 악성 동작을 취할 수 있으므로 스마트폰을 루팅하여 사용중인 사용자의 경우 각별한 주의가 필요하다. 2. 유포 경로 및 감염 증상 해당 악성파일은 아래의 그림과 같이 중국에서 서비스 되고 ..

1. 개 요 얼마전 국내 유명 포털에서 운영되고 있는 인터넷 커뮤니티 사이트를 통해 안드로이드 악성 애플리케이션이 유포되고 있는 상황에 대한 글을 게재한 바 있다. 인터넷 커뮤니티 사이트에서는 단순히 가입 후 글 게재 및 파일 업로드 등의 활동이 얼마든지 가능하며, 이러한 점을 통해 악성 애플리케이션이 업로드될 경우 일반 사용들은 별다른 의심없이 악성 애플리케이션에 대한 다운로드 및 설치를 진행하여 감염될 수 있다. [긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중 ☞ http://erteam.nprotect.com/259 2. 유포 과정 및 감염 증상 이러한 방법으로 유포되고 있는 악성 애플리케이션들은 악성 여부에 대한 정확한 확인이 이루어지지 않은 상태에서 일반 사용자들간에 공유가 ..

1. 개 요 잉카인터넷 대응팀은 최근 해외에서 Bot 기능이 있는 것으로 화제가 되었던 악성파일을 분석하여 관련된 내용을 일부 공개하게 되었다. 이와 같은 안드로이드 악성 파일은 아직까지 국내에 정식 감염된 피해 사례는 보고된 바 없는 상태이다. 이번 악성파일은 공격자의 지능화된 무선 명령 및 지시에 따라 다양한 정보 유출 기능 등을 수행할 수 있는 이른바 좀비폰 역할이 가능한 종류로 한단계 진화된 형태로 볼 수 있다. 특히, 해당 악성파일은 "한국의 이동통신사망(APN)을 체크 시도"하는 기능이 있어 국내 사용자로 대상 범위를 확대하고자 하는 또 다른 시도가 아닌가 조심스럽게 추정되고 있어, 잉카인터넷 대응팀은 관련 정보 수집을 계속 진행 중이다. - 한국 이동통신사의 APN 이용, 국내를 겨냥용 안드..

1. 개요 잉카인터넷 대응팀은 2012년 07월 27일부터 시작되는 제 30회 런던 올림픽과 관련된 다양한 보안 위협이 등장하고 있는 것을 확인하였다. 보통 사이버 범죄자들은 전 세계적으로 유명한 이벤트나 행사들이 있을 경우 관련된 내용처럼 교묘하게 사칭하거나 위장된 내용으로 새로운 악성파일 유포에 적극적으로 활용을 하는 편이다. 특히, 올림픽과 같이 전 세계인의 관심과 이목이 집중되는 큰 대회의 경우에는 개최되기 이전부터 입장권 당첨이나 특별한 이벤트 내용처럼 속여 사용자를 현혹하는 경우가 많으므로, 각별한 주의가 필요하다. 2. 보안 위협 사례 2012년 04월 03일 해외에서는 런던 올림픽 티켓과 관련된 내용처럼 위장된 스팸성 이메일이 발견된 바 있으며, 또한 CVE-2010-3333 MS 오피스 ..