잉카인터넷 시큐리티대응센터 블로그

“Abyss Locker” 랜섬웨어가 Linux의 가상화 플랫폼인 VMware ESXi 서버를 공격하는 변종이 발견됐다. 발견된 변종은 ESXi 서버에서 호스트를 관리하는 esxcli 명령을 사용해 실행 중인 가상 머신을 모두 종료한다. 이후 가상 디스크, 스냅샷 및 메타데이터를 포함한 파일을 암호화한 후 파일명에 “.crypt” 확장자를 추가한다. 또한, “파일명.README_TO_RESTORE” 이름의 랜섬노트를 생성한다. 외신은 “Abyss Locker” 측이 자신들이 운영하는 데이터 유출 사이트에 14곳의 피해 업체 정보를 게시했다고 전했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2023.07.29) – Linux version of Abyss ..

최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 “Casbaneiro” 악성코드 변종이 발견됐다. 보안 업체 Sygnia는 "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다. 이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동..

개요 Ivanti 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Ivanti EPMM 11.8.1.1, 11.9.1.1, 11.10.0.2 참고자료 https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US

한국인터넷진흥원과 과학기술정보통신부(과기정통부)는 텔레그램 메신저에서 보안 업데이트 안내로 위장한 메시지에 피싱 사이트 링크가 포함된 정황에 대해 공지했다. 한국인터넷진흥원은 공격자가 보안 업데이트 안내 메시지를 사용자에게 전달해 피싱 사이트 접속을 유도한다고 전했다. 현재, 해당 사이트는 사용자가 개인정보를 입력하도록 하는 것이 확인돼 긴급 차단됐다. 또한, 접속에 사용한 PC 및 휴대폰이 악성 앱에 감염되는 등의 2차 피해가 발생할 우려가 있어 주의가 필요하다고 덧붙였다. 이에 대해 한국인터넷진흥원과 과기정통부는 2차 인증을 설정해 개인 보안을 강화하고 출처가 불분명한 사이트 접속을 자제할 것을 권고했다. 사진 출처 : 한국인터넷진흥원 출처 [1] 한국인터넷진흥원 (2023.07.20) – KISA-..

최근, 단말기의 각종 정보를 탈취하고 원격 제어 동작을 수행하는 안드로이드 악성 애플리케이션이 발견되었다. 해당 앱은 Instagram을 위장하여 유포되었으며, 오픈소스인 Firebase Realtime Database를 악용하여 원격지와 통신하며 악성 동작을 수행한다. 해당 앱을 실행하면 좌측 하단의 그림과 같이 정상 Instagram 애플리케이션을 설치 및 실행하도록 한다. 로그인 버튼을 클릭하면, 정상 Instagram 로그인 페이지를 띄우면서 사용자를 속인다. 악성동작이 실행되기 위해, 아래의 그림과 같이 접근성 및 알림창 접근, admin의 권한을 요구한다. 이때, Admin 권한을 획득했다가 Disable 요청 이벤트가 발생되면 사용자 단말기 잠금 암호를 1234로 설정하고 Lock 해버린다...

2분기 국가별 해커 그룹 동향 보고서 러시아 2023년 2분기에는 CozyBear 해커 그룹과 FancyBear 해커 그룹의 공격이 발견되었다. 두 해커 그룹은 러시아 정부기관을 배후로 두고 있는 것으로 전해지며, 2000년대 초반부터 활발하게 활동하였다. 이번 2분기에는 CozyBear 해커 그룹과 FancyBear 해커 그룹이 유사하게 피싱 메일을 활용한 APT 공격을 수행하였다. CozyBear CozyBear 해커 그룹은 2008년부터 활동한 것으로 전해지며, 러시아 대외정보국(SVR)을 배후로 두고 있는 해커 그룹이다. 해당 그룹은 CozyBear를 비롯하여, APT29, The Dukes 등의 이름으로도 불린다. 주로 NATO 회원국의 정부 네트워크 및 연구기관, 싱크탱크를 표적으로 공격하였으..

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 일부 긴급(Critical)과 중요(Important) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5028166, KB5002427, KB5028167, KB5028168, KB5028169, KB5028171, KB5028182, KB5028185, KB5028186, KB5028222, KB5028223, KB5028224, KB5028226, KB5028228, KB5028240, KB5002432, KB5028232, KB5028233 참고자료 ..

보안 업체 Uptycs는 텔레그램과 다크웹 포럼에서 판매 중인 정보 탈취 악성코드 "Meduza"를 발견했다. “Meduza”는 사용자 PC에서 시스템, 브라우저 및 암호화폐 지갑 등의 정보를 수집해 공격자의 서버로 전송한다. 해당 악성코드는 사전에 러시아를 포함한 10개의 국가를 공격 대상 제외 목록으로 만들어 실행을 제한한다. 또한, 공격 과정에서 공격자의 서버와 통신이 안되면 즉시 실행을 종료해 행위 추적이 어렵게 만든다. Uptycs 측은 기능이 계속 추가되는 구독형 서비스임을 강조하며, 운영체제 및 브라우저 등을 정기적으로 보안 업데이트할 것을 권고했다. 사진 출처 : Uptycs 출처 [1] Uptycs (2023.06.30) – Meduza Stealer: What Is It & How Do..

구글 플레이 스토어에서 파일 관리 앱으로 위장해 사용자의 정보를 탈취하는 앱이 발견됐다. 보안 업체 Pradeo는 “File Recovery & Data Recovery”와 “File Manager”로 등록된 2종의 스파이웨어 앱을 총합 150만 명 이상이 사용했다고 전했다. 또한, 해당 앱을 설치하면 사용자가 앱을 삭제하지 못하도록 아이콘을 숨기고, 연락처 목록과 위치 등의 개인정보를 수집해 공격자의 C&C 서버로 전송한다고 덧붙였다. Pradeo 측은 수집한 데이터가 주로 중국으로 유출된다고 언급하며 앱 사용에 필요한 권한은 주의 깊게 읽은 후 수락할 것을 권고했다. 직접 확인해 본 결과 해당 앱 2종은 구글 플레이 스토어에서 삭제돼 검색되지 않았다. 사진 출처 : Pradeo 출처 [1] Prede..

1. 랜섬웨어 통계 2023년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 13건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 2월과 4월에 가장 많이 발견됐다. 2023년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2023년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 25%로 가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네..