잉카인터넷 시큐리티대응센터 블로그

지난 주말 약 5억 3300만 명의 Facebook 사용자의 개인정보가 해커 포럼에 공개되었다. 유출된 데이터에는 한국 사용자 약 12만 명의 개인정보가 포함되어 있으며 전화번호, 아이디, 이름, 거주지, 생일, 이력, 이메일 주소, 성별, 계정 생성날짜 및 이메일 등의 정보가 담겨 있다. 이를 유출한 해커는 2019년 Facebook 취약점을 통해 탈취된 데이터이며, $10,000 가격에 데이터를 구매하여 공개한다고 밝혔다. 해커는 미국 사용자의 데이터를 무료로 공개하였으며, 이외에 데이터는 해커 포럼의 화폐인 8 Credit을 통해 판매하고 있다. 무료로 공개된 미국 사용자의 데이터에는 Facebook의 설립자인 Mark Zuckerberg의 개인정보도 포함되어 있다. 유출된 데이터는 106개국의 5..

1. 악성코드 통계 악성코드 Top20 2021년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 101,263 건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Virus, Exploit 및 Backdoor의 진단 수가 증가하였고, Worm의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2..

랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 40건으로 가장 많은 데이터 유출이 있었고, “DoppelPaymer” 랜섬웨어가 29건으로 두번째로 많이 발생했다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 62%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 8%와 6%, 캐나다와 영국 각각 5%와 4%로 그 뒤를 따랐다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로..

국가를 배후로 둔 해커 그룹들은 전세계의 개인 사용자를 비롯하여 기업이나 정부기관에 이르기까지 다양한 타겟을 대상으로 한다. 그들의 공격은 사회공학적 기법을 악용하는 일반적인 피싱 메일 공격 외에도 정상 프로그램을 위장하거나, 취약점을 활용하는 등 다양한 형태로 이루어 지고 있다. 2021년 1분기에는 어떤 해킹 공격들이 있었는지 알아보자. 러시아 이번 1분기에는 러시아 정부의 지원을 받는 것으로 알려진 해커그룹 중, Turla 해커 그룹과 Sandworm 해커 그룹의 공격이 활발했던 것으로 나타났다. Turla 해커그룹은 1월에 지난 SolarWinds 사태의 배후로 지목되었으며 3월에는 닷넷 프레임 워크를 대상으로 하는 오픈소스 Python을 이용한 변종 악성코드를 선보였다. 2월에는 Sandworm..

1. 랜섬웨어 피해 사례 2021년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “다크사이드(DarkSide)”, “도플페이머(DoppelPaymer)”, “소디노키비(Sodinokibi)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 윈도우 유틸리티 개발 기업 Iobit이 “데로HE(DeroHE)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 자동 자금 이체 서비스(AFTS)와 폴란드 게임 개발 기업 CD Projekt가 각각 “쿠바(Cuba)”와 “헬로키티(HelloKitty)” 랜섬웨어 공격을 받아 피해가 발생했다. 다크사이드(DarkSide) 랜섬웨어 피해 사례 최근 다크사이드 랜섬웨어 운영진이 새로운 변종을 공개했다. 해당 랜섬웨어 운영진에 따..

개요 VMware 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - VMware Carbon Black Cloud Workload Appliance v1.0.2 참고자료 https://www.vmware.com/security/advisories/VMSA-2021-0005.html https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.0/rn/cbc-workload-102-release-notes.html https://..

정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바..

잉카인터넷 대응팀은 2021년 3월 26일부터 2021년 4월 1일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hanta” 외 5건, 변종 랜섬웨어는 “BlackKingdom” 외 2건이 발견됐다. 이 중, “BlackKingdom” 랜섬웨어는 MS Exchange Server 취약점을 악용한 1,500개의 웹 셸을 통해 유포되었다. 또한, 새롭게 등장한 “Hades” 랜섬웨어와 “PhoenixLocker” 랜섬웨어는 “WastedLocker” 랜섬웨어로 유명한 Evil Corp 사이버 공격 그룹과 연관이 있는 것으로 추정된다고 밝혔다. 2021년 3월 26일 BlackKingdom 랜섬웨어 “BlackKingdom” 랜섬웨어와 관련된 1,500개의 웹 셸이 MS E..

개요 VMware 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - vRealize Operations Manager v7.5.0, v8.0.0, v8.0.1, v8.1.0, v8.1.1, v8.2.0, v8.3.0 참고자료 https://www.vmware.com/security/advisories/VMSA-2021-0004.html https://kb.vmware.com/s/article/82367 https://kb.vmware.com/s/article/83093 https:..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Jabber for Windows v12.1.5, v12.5.4, v12.6.5, v12.7.4, v12.8.5, v12.9.5 - Cisco Jabber for MacOS v12.8.7, v12.9.6 - Cisco Jabber for BlackBerry & Intune MAM v12.9.1 - Cisco Wireless LAN Controller Software v8.10.151.0 - Cisco Catalyst 9800 Wireless Cont..