잉카인터넷 시큐리티대응센터 블로그

개요 Adobe 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Adobe Acrobat, Acrobat Reader DC v21.011.20039 및 이후 버전 - Adobe Acrobat, Acrobat Reader 2017 v17.011.30207 및 이후 버전 - Adobe Acrobat, Acrobat Reader 2020 v20.004.30020 및 이후 버전 - Adobe Bridge v12.0, 11.1.2 및 이후 버전 - Adobe In..

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB4462205, KB5001995, KB5002052, KB5002060, KB5002064, KB5002102, KB5002107, KB5002108, KB5002109, KB5002110, KB5002111, KB5002113, KB5002114, KB5002115, KB5002118, KB5002122, KB5002124, KB5002128, KB5002129, KB5008631, ..

지난 12월 등장하여 전세계에 위협을 준 Log4j 취약점이 최근, 새로운 모듈식 악성코드 유포에 악용되었다. 이는 이란의 해커그룹인 Charming Kitten 에 의해 유포되었으며, 해당 취약점이 공개된 지 4일만에 공격을 시도한 것으로 전해진다. 해당 악성코드는 "CharmPower"라는 이름으로 불리우며, Powershell 모듈식 백도어이다. Log4j 취약점인 CVE-2021-44228 취약점을 악용하여 페이로드를 파워쉘로 실행하고 최종적으로 CharmPower 모듈을 사용자 PC에 설치하여 악성동작을 수행한다. 사진 출처: Check Point 출처 [1] Check Point (2022.01.12) - APT35 exploits Log4j vulnerability to distribute ..

1. 랜섬웨어 통계 2021년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 34건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 7월과 8월에 가장 많이 발견됐다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 22%로 가장 많았고, 랜섬머니를 요구하지 않는 경우..

4분기 국가별 해커그룹 동향 보고서 러시아 러시아의 해커그룹들은 정부기관의 지원을 받아 활동하여, 오랜 시간 동안 지속적으로 모습을 드러내었다. 그 중 CozyBear 의 경우, 러시아 SVR 을 배후로 두고 있으며, 미국과 프랑스를 비롯하여 여러 국가를 대상으로 공격을 수행하였다. 이로 인해 프랑스 정보국에서는 해당 해커그룹 관련 자료를 발표하는 등의 조치를 취하고 있다. 그 외에도 피싱 메일을 유포하여 공격을 수행하는 Gamaredon 해커그룹은 최근 새롭게 RTF Template Injection 기술을 활용하여 공격을 수행하였다. CozyBear (APT29) CozyBear 그룹은 러시아 대외정보국(SVR)을 배후로 두고 있으며, Nobelium 또는 APT29 라는 이름으로도 불린다. 해당 해..

1. 랜섬웨어 피해 사례 2021년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "아보스락커(AvosLocker)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 대만의 유명 하드웨어 제조 업체 Gigabyte가 "콘티(Conti)" 랜섬웨어 공격을 받았고, 11월과 12월에는 글로벌 소매 업체 MediaMarkt와 미국 제조 업체 McMenamins가 각각 "아보스락커(AvosLocker)"와 "콘티(Conti)" 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다..

최근 PurpleFox가 'Telegram Desktop.exe' 라는 이름으로 유포되었다. 해당 파일은 악성 다운로더를 드롭 및 실행하여 사용자 PC에 PurpleFox를 설치한다. PurpleFox는 보안 프로그램을 탐지하고, RAT의 기능을 수행할 수 있는 것으로 알려져 있다. 유포된 PurpleFox 중에는 RootKit의 기능이 존재하는 경우도 있는 것으로 전해진다. 유포된 악성 파일은 사용자를 속이기 위해, 다운로더와 함께 Telegram 인스톨러로 보이는 파일을 함께 생성하는데 이 파일은 정상적으로 실행되지 않는다. 사진 출처: Minerva Labs 출처 [1] Minerva Labs (2022.01.06) - Malicious Telegram Installer Drops Purple Fo..

잉카인터넷 대응팀은 2021년 12월 31일부터 2022년 1월 6일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "PyCryptor" 외 3건, 변종 랜섬웨어는 "Conti" 외 5건이 발견됐다. 2021년 12월 31일 HelloXD 랜섬웨어 파일명에 ".hello" 확장자를 추가하고 "Hello.txt"라는 랜섬노트를 생성하는 "HelloXD" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. PyCryptor 랜섬웨어 파일명에 ".CRYPT" 확장자를 추가하고 "README.txt"와 [그림 1]의 랜섬노트를 실행하는 "PyCryptor" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다. Conti 랜섬웨어 파일명..

1. 악성코드 통계 악성코드 Top20 2021년12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan이며 총 14,133 건이 탐지되었다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan, Exploit, Backdoor, Adware의 진단 수가 증가하고, Worm 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2021..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 59건으로 가장 많은 데이터 유출이 있었고, "Conti” 랜섬웨어가 41건으로 두번째로 많이 발생했다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 41%로 가장 높은 비중을 차지했고, 독일과 호주가 각각 8%와 7%, 프랑스와 캐나다가 6%로 그 뒤를 따랐다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로..