잉카인터넷 시큐리티대응센터 블로그

최근, 보안 업체 Mandiant는 중국의 해킹 그룹 APT41이 지난해 5월부터 최소 6개의 미국 주 정부기관 네트워크에 침투한 사실을 발표했다. Mandiant에 따르면, APT41은 주로 ASP.NET 역직렬화 공격을 이용했으며, 미국 농업 종사자들을 위한 앱 USAHerds의 제로데이 취약점 또한 이용했다고 알렸다. 또한, 해당 보안 업체는 공격자들이 개인 식별 정보(PII)를 유출하는 정황을 관찰했지만, 그것을 최종적인 공격의 목표로 보기는 어렵다고 언급했다. 출처 [1] Mandiant (2022.03.08) - Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments https://www.mandiant.com/..

최근, 핵티비스트 그룹 어나니머스가 우크라이나를 지원하기 위해 400대 이상의 러시아 CCTV를 해킹했다. 외신에 따르면 해킹된 CCTV는 레스토랑, 사무실, 학교 등의 다양한 장소에 위치해 있으며, CCTV의 라이브 화면은 웹사이트를 통해 공유됐다. 또한 외신은 어나니머스가 CCTV의 라이브 화면 위에 러시아의 침략 행위를 설명하는 텍스트를 덧붙여 공유했다고 언급했다. 사진 출처 : SecurityAffairs 출처 [1] SecurityAffairs (2022.03.09) - Anonymous hacked Russian cams, websites, announced a clamorous leak https://securityaffairs.co/wordpress/128847/hacktivism/anon..

PC 및 콘솔 컨트롤러 제조업체인 SCUF Gaming International은 해커가 유포한 악성 스크립트로 인해 고객들의 신용 카드 정보가 탈취되었다고 알렸다. 또한, SCUF Gaming 측에서 발표한 바에 따르면 PayPal을 통한 주문을 제외한 약 32,000명의 카드 정보가 탈취됐으며 탈취된 정보에는 카드 소유자 이름, 이메일 주소, 주소, 카드 번호, 만료 날짜 및 CVV가 포함돼 있다. 외신은 이번 공격에 의해 탈취된 신용카드 정보가 추후에 해킹 포럼이나 금융 사기에 사용될 수 있다고 경고했다. 출처 [1] BleepingComputer (2021.10.28) – SCUF Gaming store hacked to steal credit card info of 32,000 customers..

최근 유명 스트리밍 플랫폼을 대상으로 한 대규모 해킹 공격으로 다량의 데이터가 유출됐다. 공격자는 익명 커뮤니티에 해당 플랫폼에서 탈취한 데이터를 다운로드 받을 수 있는 토렌트 링크를 개시했다. 관련 파일을 다운받아 확인해본 결과 피해 업체의 소스 코드, 스트리머와 관련한 개인 정보 등을 확인할 수 있었다. 피해 업체 측은 이번 공격을 인정하고 유출된 계정을 검증 및 확인, 탐지 도구 출시 등의 대응을 할 것이라고 발표했다. 출처 [1] bleepingcomputer (2021-10-13) - Massive Twitch hack: Source code and payment reports leaked https://www.bleepingcomputer.com/news/security/massive-twit..

최근 EtterSilent라는 Office 악성문서 빌더가 발견되었다. 해당 악성 빌더는 2020년부터 해커 포럼에 게시되어 판매되고 있으며, 보안 솔루션에서 탐지되지 않고 있어 Trickbot, IcedID, Ursnif 밍 QakBot 등 악명 높은 악성코드 제작자들이 사용하고 있다. EtterSilent 빌더를 통해 생성된 악성문서는 피싱 메일을 통해 사용자들에게 유포되며, 매크로 혹은 취약점을 사용해 파일을 다운로드하여 추가적인 악성행위를 수행한다. 판매자는 해커 포럼에서 EtterSilent 빌더를 판매하고 있으며, 악성 빌더의 두 가지 버전과 함께 Windows Defender, Smart Screen, Gmail 및 이메일 서비스 우회 기능에 대해 홍보하고 있다. 첫 번째 버전은 취약점을 사..

지난 주말 약 5억 3300만 명의 Facebook 사용자의 개인정보가 해커 포럼에 공개되었다. 유출된 데이터에는 한국 사용자 약 12만 명의 개인정보가 포함되어 있으며 전화번호, 아이디, 이름, 거주지, 생일, 이력, 이메일 주소, 성별, 계정 생성날짜 및 이메일 등의 정보가 담겨 있다. 이를 유출한 해커는 2019년 Facebook 취약점을 통해 탈취된 데이터이며, $10,000 가격에 데이터를 구매하여 공개한다고 밝혔다. 해커는 미국 사용자의 데이터를 무료로 공개하였으며, 이외에 데이터는 해커 포럼의 화폐인 8 Credit을 통해 판매하고 있다. 무료로 공개된 미국 사용자의 데이터에는 Facebook의 설립자인 Mark Zuckerberg의 개인정보도 포함되어 있다. 유출된 데이터는 106개국의 5..

인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석 1. 개요 최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다. 해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 우리가족.abcd.scr 파일크기 9,097,216 byte 진단명 Trojan-Dropper/W32...

1. 비트코인 국내 사용처 1호점 등장과 함께 시작된 악성파일 잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 ☞ http://erteam.nprotect.com/450 [주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장 ☞ http://erteam.nprotect.com/438 [긴급]6.25 사이버전, 신문사, ..

1. 문자메시지를 훔치는 한국형 스파이앱(SpyApp) 탄생 2013년 02월 15일 마치 삼성전자(☎1588-3366)에서 발송한 문자메시지(SMS)처럼 발신자를 사칭하고, 애플리케이션 실행속도 관련 최신 업그레이드 내용과 같은 문구로 사용자를 현혹한 후 악성앱(Androicall.apk)을 설치시도한 형태가 보고되었다. 그와 별개로 롯데시네마의 요금 인상전 무료영화권 쿠폰발급 내용처럼 위장된 악성앱(LotteCinema.apk)도 추가 보고되었는데, 두 가지 악성앱 모두 공통적으로 안드로이드 기반 스마트폰에 수신된 문자메시지(SMS)를 감시하고 수집하며, 외부로 무단 유출시도하는 사생활 침해 및 개인정보 탈취 기능을 수행하고 있는 것으로 파악되었다. 잉카인터넷 대응팀은 해당 악성앱에 대한 탐지 및 치..

1. 보안관련 인증절차와 금융 보안프로그램으로 사칭한 KRBanker잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 노린 악성파일(KRBanker) 변종이 새로운 형태의 내용으로 전자금융 서비스 이용자들을 현혹시키고 있는 정황을 포착하였다. 악성파일은 국내 특정 웹 사이트를 해킹하여 보안이 취약한 접속자로 하여금 웹 사이트 접속만으로 악성파일(KRBanker)에 은밀히 감염되도록 만들어 두었다. 악성파일에 노출되어 감염이 이뤄지면, 사용자 컴퓨터에 존재하는 호스트파일(hosts)을 변조하여 시티은행, 하나은행, 기업은행, 국민은행, 외환은행, 농협, 신한은행, 수협, 스탠다드차타드, 우리은행 등의 도메인 접속 주소를 특정 피싱 IP주소로 몰래 변경시킨다. 이로인해 사용자가 정상적인 금융사 홈페..