잉카인터넷 시큐리티대응센터 블로그

최근 중국의 사이버 범죄 단체 Hafnium에 의해 Microsoft Exchange Server 취약점을 악용한 공격이 발견되어 이슈가 되었다. 이에 마이크로 소프트 측에서는 해당 취약점 네 가지에 대해 긴급 패치를 진행하였으며 이번 공격에 악용된 취약점은 MS Exchange Online과는 상관 없다고 밝혔다. 공격의 시작이 되었던 Hafnium 그룹은 주로 미국 여러 산업 부문의 기업을 대상으로 공격한다. 과거에도 Hafnium은 네트워크 서버의 취약점을 악용하여 많은 서버를 감염시켰고, 합법적인 오픈 소스 프레임 워크를 사용하여 탐지를 우회했다. 이 후 감염을 마친 PC에서 정보를 탈취하고, 악성코드를 사용자의 PC에 다운로드하여 사용자를 협박 한 이력이 있다. 마이크로 소프트는 공식적으로 이번..

최근 외신에 따르면 APT 36으로 알려진 파키스탄의 해커 그룹이 유포한 “ObliqueRAT” 악성코드의 새로운 버전이 발견되었다. 이번에 발견된 악성코드의 버전은 6.3.5 로, 기존에 발견된 5.2 버전과 다른 악성코드 감염 방식을 사용하고 있으며, 지속적인 업데이트를 통해 기능의 변화가 확인되고 있다. 버전별 차이점 “ObliqueRAT” 악성코드는 2019년 11월 5.2 버전이 발견되었으며, 이후 업데이트를 통해 6.3.5 버전이 발견되었다. 6.3.5 버전에서는 뮤텍스, 유포 방식, 안티 기법 및 명령 코드 추가 등 기존의 기능이 변화되었으며, 파일 탈취 및 파일 목록 검색 등의 기능이 추가되었다. 유포 방식 악성문서에서 “ObliqueRAT” 악성코드를 드랍하여 실행하는 방식에서, 파일을 ..

Sarbloh 랜섬웨어 분석 보고서 최근 “2020년 인도 농업법”에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면 “칼사의 사이버 부대” 라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다. “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarblo..

Covid-19 바이러스 확산으로 인한 사회적 거리 두기가 장기화 되면서 소개팅도 비대면으로 진행되는 시대가 왔다. 이에 온라인 데이팅 앱과 사용자가 크게 증가하였는데, 최근 국내의 한 언론사에서 “위피, 정오의 데이트, 아만다, 너랑나랑 소개팅, 돛단배, 빠른톡 등 국내 유명 데이팅 앱들이 이용자에게 제대로 알리지 않고 대화 내용을 수집해 왔다”고 알렸다. (관련기사 : http://news.kmib.co.kr/article/view.asp?arcid=0015606305&code=61121111&cp=nv) 대부분의 데이팅 앱은 알맞은 대화 상대를 매칭하기 위해 사용자의 다양한 개인 정보를 수집하게 되는데, 일부 앱에서 이때 수집되는 정보에 대해 명확하게 고지하지 않거나 필요 이상의 정보를 수집하는 것..

Introduction 최근 외신에 따르면 “ApoMACROSploit”이라는 Office악성코드 빌더를 발견하였으며, 이를 이용하여 생성된 악성 XLS문서 파일 확인되었다. 생성된 악성 XLS 문서 파일은 피싱 메일로 사용자들에게 유포되었다. What is ApoMACROSploit? “APOMacroSploit”은 Office 매크로 악성코드 빌더로 Office 문서에 삽입 가능한 악성 매크로를 생성한다. 과거부터 “APOMacroSploit” 악성코드 제작자들은 커뮤니티에 광고를 하며 판매하고 있었다. 해당 빌더를 이용하여 만든 악성 매크로 문서 파일이 백신 프로그램(AV)과 Windows Defender를 우회 할 수 있다고 홍보한다. 이들은 페이로드를 실행 하기 전, 대상 컴퓨터에 Windows..

개요 최근 HAFNIUM APT 그룹이 Microsoft 제품의 취약점을 이용한 사이버 공격이 발견되어 이슈가 되었다. Microsoft는 Exchange Server에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신 버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - KB5000871 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35929 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exch..

개요 Microsoft는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신 버전 업데이트를 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - KB5000800, KB5000802, KB5000803, KB5000807, KB5000808, KB5000809, KB5000822, KB5000840 - KB5000841, KB5000844, KB5000847, KB5000848, KB5000851, KB5000853, KB5000856 - Visual Studio 2017 Version 15.9.34, - Visual Studio 2019 Version 16.4.20, 16.7.1..

개요 Apple은 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신 버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Safari 14.0.3 (v. 14610.4.3.1.7 및 15610.4.3.1.7) - macOS Big Sur 11.2.3 - watchOS 7.3.2 - iOS 14.4.1 및 iPadOS 14.4.1 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35933 https://support.apple.com/ko-kr/HT201222

개요 Adobe는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신 버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Adobe Framemaker 2020.0.2 버전 - Creative Cloud Desktop Application 5.4 버전 - Adobe Connect 11.2 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35934 https://helpx.adobe.com/security/products/framemaker/apsb21-14.html https://helpx.a..

IcedID 악성코드 최근, IcedID가 TA551 해커 그룹에 의해 다시 모습을 드러내고 있다. 2017년에 최초로 등장한 IcedID 악성코드는 BokBot이라는 이름으로도 불린다. Microsoft Office 문서 첨부 파일과 함께 피싱 메일로 유포되며, 사용자 PC에 설치되면 원격지와 통신하여 사용자의 은행 정보를 비롯한 각종 정보를 탈취한다. 감염 방식 IcedID는 감염된 PC에 대해 원격지와 연결되어 있는 경우, 악성 코드의 기능을 업데이트하거나 또 다른 악성 동작을 수행할 수 있다. 2차 피해를 유발할 수 있는 IcedID 악성코드는 안티바이러스 탐지를 우회하기 위해 다양한 감염 방식을 사용한다. 이메일의 악성 문서 첨부 파일을 통한 유포 방식은 동일하지만 최종 페이로드를 인젝션하기 전..