잉카인터넷 시큐리티대응센터 블로그

최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 ..

Sentinel Labs에 의해, 러시아의 군용 제조업체에 발생한 침해 공격이 북한의 소행인 것으로 밝혀졌다. 해당 공격에서 OpenCarrot 이라는 Windows 백도어를 사용하였으며, 이메일 등을 통해 유포된 것으로 전해진다. 백도어는 비정상적인 인증 과정을 통해 시스템에 접근하고, 시스템에 설치되면 다양한 악성 동작을 수행한다. OpenCarrot 백도어의 경우, 아래의 그림과 같이 복잡한 페이로드를 통해 사용자 PC에 설치된다. 해당 파일은 시스템 파일에 인젝션하여 바이너리를 다운로드하고, 다운로드된 바이너리를 통해 최종적으로 OpenCarrot 백도어가 생성된다. 해당 파일이 실행되면, 시스템 폴더에 실행 파일 중에서 UAC 권한 상승이 필요없는 파일을 대상으로 프로세스를 생성하여 코드 인젝션..

개요 Juniper 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Junos OS 23.2R1 및 이후 버전 참고자료 https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US

최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다. “ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다. 이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다..

공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다. 피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다. 드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기..

개요 RARLAB 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - RARLAB WinRAR 6.23 이후 버전 참고자료 https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=232&cHash=c5bf79590657e32554c6683296a8e8aa

개요 Cisco 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Unified CM 12.5(1)SU8 - Cisco Unified CM SME 12.5(1)SU8 - Cisco ThousandEyes Enterprise Agent 0.218 - Cisco Duo Device Health Application for Windows 5.2.0 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cu..

수백만 명의 개인정보를 탈취한 “Raccoon” 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다. “Raccoon” 스틸러는 감염된 시스템의 자격 증명과 암호화폐 지갑 정보 등을 탈취해 ‘%Temp%’ 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 보안 업체 CyberInt는 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다. 또한, 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다고 언급했다. 한편, 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다고 덧붙였다. 이에 대해 CyberInt ..

개요 Python에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Python 3.12 이후 버전 참고자료 https://kb.cert.org/vuls/id/127587

웹 브라우저 업데이트로 위장해 “RedEnegy” 스틸러를 유포하는 캠페인이 발견됐다. 주요 대상은 브라질과 필리핀의 산업 분야이며, 공격자는 대상 산업의 홈페이지 링크를 리다이렉션해 가짜 사이트로 접속을 유도한다. 해당 사이트는 웹 브라우저 업데이트가 필요하다는 메시지와 함께 다운로드 링크를 제공한다. “RedEnergy” 스틸러는 해당 링크에서 다운로드 되며, 실행 시 감염 PC에서 정보를 탈취한다. 또한, 파일을 암호화하고 파일 복구를 빌미로 랜섬머니를 요구하는 랜섬웨어의 동작도 수행한다. “RedEnergy” 스틸러를 실행하면, 임시 폴더에 2개의 파일을 드롭한다. 하나는 실제로 웹 브라우저를 업데이트하는 정상 파일이고, 다른 하나는 악성 동작을 수행하는 악성코드이다. - 파일명 : tmp[4자리..