잉카인터넷 1557

Zoom을 사칭한 LuminousMoth의 APT 공격

최근 동남아시아를 대상으로 한 LuminousMoth APT 그룹의 표적 공격이 발견되었다. Kaspersky에 따르면 해당 그룹은 Cobalt Strike Beacon 악성코드를 주로 배포하는 것으로 알려져, Mustang Panda 또는 HoneyMyte 그룹과 관련 있는 것으로 추정된다. 이번 APT 공격에서는 Covid-19로 인해 사용자가 급증한 화상 회의 소프트웨어인 Zoom의 서명을 사칭하여 배포되었으며, USB 드라이브를 감염시키는 특징이 있는 것으로 알려졌다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.07.20) – LuminousMoth APT: Sweeping attacks for the chosen few https://securelist.com/apt..

사우디아라비아 석유회사 데이터 유출 사건

최근, ZeroX 해커그룹은 세계 최대 규모의 공공 석유 및 천연 가스 회사인 Saudi Aramco를 공격하였다고 밝혔다. 해당 해커그룹은 제로 데이 취약점을 악용하여 Saudi Aramco를 공격하였으며, 1TB의 데이터를 탈취했다고 주장했다. 탈취한 정보에는 해당 기업의 직원 개인정보, 내부 분석 보고서 및 네트워크 정보 등이 포함되어있으며, 다크웹에서 판매하고 있는 것으로 알려졌다. 지난 2012년 Saudi Aramco는 해킹 공격으로 30,000개 이상의 드라이브가 지워진 적이 있다. 사진 출처: BleepingComputer 출처 [1] BleepingComputer (2021.07.20) – Saudi Aramco data breach sees 1 TB stolen data for sale..

이스라엘에서 윈도우 제로데이 취약점을 이용해 스파이웨어 유포

MS와 민간 보안 업체가 현재 패치가 완료된 윈도우 제로데이 취약점을 이용한 "DevilsTongue" 스파이웨어를 발견했으며 해당 스파이웨어를 유포시킨 배후로 이스라엘의 스파이웨어 제작 그룹인 "Candiru(Sourgum)"를 지목했다. MS의 연구진은 현재 "DevilsTongue"로 인해 팔레스타인, 이스라엘, 이란, 레바논, 예멘, 스페인, 영국, 터키, 아르메니아, 싱가포르 등에서 최소 100명 이상의 피해를 입은 것으로 추정했으며 정치인, 언론인, 학자 등 다양한 피해자가 포함된 것으로 확인됐다. 또한, "DevilsTongue"와 연결되는 악성 도메인 중 다수가 "국제 사면 위원회"와 "흑인 인권 운동"의 URL으로 위장되어 유포되고 있다. 사진 출처 : Microsoft 공식 홈페이지 출..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 높음(High) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco ASA SW v9.16.1 이후 버전 - Cisco FTD v7.0.0 이후 버전 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ipsec-dos-TFKQbgWC https://tools.cisco.com/security/center/content/CiscoSecurity..

취약점 정보 2021.07.20

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Thunderbird v78.12 및 이후 버전 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2021-30/

취약점 정보 2021.07.20

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Hubs Cloud Mozillareality / Recticulum v1.0.1/20210618012634 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2021-32/

취약점 정보 2021.07.20

SAP 제품 보안 업데이트 권고

개요 SAP 소프트웨어 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 높음(High) 핫뉴스(Hot News) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - SAP NetWeaver ABAP Server & Platform v804 이후 버전 - SAP NetWeaver AS for Java v7.50 이후 버전 - SAP NetWeaver Guided Procedures v7.50 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_seque..

취약점 정보 2021.07.20

PJobRAT 악성 앱 주의

최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원..

2021년 상반기 랜섬웨어 동향

1. 랜섬웨어 통계 2021년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 31건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 6월과 4월에 가장 많이 발견됐다. 2021년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2021년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 31%로가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네..

[주간 랜섬웨어 동향] – 7월 2주차

잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다. 2021년 7월 9일 Artis 랜섬웨어 파일명에 “.artis” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Artis” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. CovidLocker 랜섬웨어 파일명에 “.covid” 확장자를 추가하고 “How_To_Recover.mht”라는 랜섬노트를 생성하는 “CovidLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 7월 10일 InH..