잉카인터넷 시큐리티대응센터 블로그

집콕 생활이 연장되면서 스마트폰 사용이 계속해서 증가되는 가운데, 최근 안드로이드 단말기를 대상으로 하는 ScreenLocker 악성코드가 다량 유포되었다. ScreenLocker 악성코드는 화면에 암호 창을 띄워 피해자 단말기의 사용을 방해하고, 금전적인 요구를 한다. 최근 다량 발견된 이 악성 앱은 정상 앱으로 위장하고, 빨간 색의 알림 창을 띄우는 것이 특징이다. ScreenLocker은 아래의 이미지와 같이 Netflix, Instagram, Whatsapp등 많이 사용되는 앱을 위장하여 유포되었다. 앱을 실행하면, 하단 좌측 이미지와 같이 파일 암호를 입력하거나 비트코인을 요구한다. 암호를 입력하면 악성코드는 종료된다. 그 외의 악성 동작은 없으나, 암호를 입력하기 전까지 재부팅하거나 화면을 껐..

개요 SonicWall 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - SonicWall SMA v10.2.1.3-27sv 및 이후 버전 (CVE-2021-20038 외 2건) - SonicWall SMA v10.2.0.9-41sv, v10.2.1.3-27sv 및 이후 버전 (CVE-2021-20039) - SonicWall SMA v10.2.09-41sv, v10.2.1.3-27sv 및 이후 버전 (CVE-2021-20040) - SonicWall SMA v10.2.0.9-41sv, v10.2.1.3-27sv 및 이후 버..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Smart Business 220 v1.2.1.5 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36387 https://tools.cisco.com/security/center/publicationListing.x https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisc..

2021년 9월, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다. ▶ 아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다. 2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장 "Moses Staff" 그룹의 악성코드는 2021년 3월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서..

최근, 북한을 배후로 추정되는 ScarCraft APT그룹의 악성 공격이 발견되었다. 해당 공격에서는 악성 문서, 실행파일, 어플리케이션이 사용되었으며, 그 중 안드로이드 단말기를 대상으로 하는 악성 앱은 Chinotto 스파이웨어라고 불린다. 이 앱은 원격지와 통신하여 단말기의 정보 및 사용자의 문자메시지, 연락처 정보 탈취 등의 동작을 수행한다. Chinotto 스파이웨어를 실행하면 하단 좌측의 이미지에서 보는 것과 같이, 악성 동작을 하기 위해 각종 권한을 획득한다. 그리고 백그라운드 모드에서 원격제어 동작을 수행한다. 먼저, 원격지와 연결하여 명령을 받아와 악성 동작을 이어간다. 원격제어 동작은 아래의 표와 같다. 이때, 'UploadInfo' 명령을 받을 때 다음의 정보를 탈취하고, 탈취한 정보..

지난 6일 Apache의 Log4j 제로데이 취약점이 발견되어, 이에 대해 업데이트를 발표하였다. 해당 취약점은 Apache의 오픈 소스인 Log4j 라이브러리 취약점으로 CVE-2021-44228 로 지정되었다. Log4j는 클라우드 서비스를 비롯하여 Apple, Amazon과 같은 소프트웨어에서도 사용되기에 해당 취약점이 악용되면 큰 피해가 발생할 것으로 추정된다. Apache는 CVE-2021-44228 취약점을 해결하기 위해 Log4j 2.15.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다. 사진 출처: Apache 홈페이지 출처 [1] Logging Apache (2021.12.13) - Apache Log4j Security Vulnerabilities https://..

개요 Apache의 Log4j 취약점에 대해 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - log4j 2.15.0이후 버전 참고자료 https://logging.apache.org/log4j/2.x/security.html https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd#vp

잉카인터넷 대응팀은 2021년 12월 03일부터 2021년 12월 09일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "VoidCrypt" 외 3건, 변종 랜섬웨어는 "Makop" 외 5건이 발견됐다. 2021년 12월 03일 Makop 랜섬웨어 파일명에 ".[키 값].[공격자 메일].mkp" 확장자를 추가하고 "+README-WARNING+.txt"라는 랜섬노트를 생성하는 "Makop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 12월 04일 Thanos 랜섬웨어 파일명에 ".[키 값].unlock" 확장자를 추가하고 "UNLOCK_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해..

최근 금융 기관을 대상으로 공격하는 MirroBlast 캠페인이 발견됐다. 해당 캠페인은 악성 문서 파일을 유포한 후 사용자 PC에 악성코드를 설치하고, 공격자의 C&C 서버에서 최종 페이로드의 다운로드를 시도한다. MirroBlast 캠페인은 공격 대상 PC에서 악성 스크립트를 설치하는 MSI 파일을 다운로드 후 실행하며, [그림 1]과 같이 진행한다. 1. XLS 파일을 실행하면 공격자의 C&C 서버에서 MSI 파일을 다운로드 한다. 2. 다운로드한 MSI 파일을 실행하면 내부의 파일을 사용자 PC에 설치한다. 3. 그 후, 사용자 PC에 설치한 파일 중 EXE 파일을 실행해 스크립트의 난독화를 해제한다. 4. 난독화를 해제한 스크립트를 실행하면 공격자가 운영하는 C&C 서버와 통신을 시도한다. 1...

독일의 한 보안회사, G DATA에서 STOP 랜섬웨어의 암호화 동작을 방지하는 백신을 출시하였다. 해당 백신은 STOP 랜섬웨어의 악성동작 자체를 막지는 못하지만, 파일의 암호화 동작을 차단할 수 있다고 전해진다. STOP 랜섬웨어의 암호 해독 소프트웨어는 지난 2019년 10월에 출시된 바가 있다. 하지만 그 이후로 다양한 변종이 등장하였기 때문에 최신 변종에 대해서는 G DATA의 백신을 통해 추가적인 암호화 동작을 막는 것이 최선의 방법으로 알려진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - STOP Ransomware vaccine released to block encryption https://www.bleepingcom..