잉카인터넷 시큐리티대응센터 블로그

최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면..

개요 Ivanti 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Ivanti Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, 22.5R2.2 - Ivanti Policy Secure 22.5R1.1 - Ivanti Policy Secure for ZTA 22.6R1.3 참고자료 https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-an..

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5033741, KB5002539, KB5034121, KB5034119, KB5033733, KB5033734, KB5002540, KB5002541, KB5034122, KB5034123, KB5034127, KB5034129, KB5034130, KB5034134, KB5034167, KB5034169, KB5034171, KB5034173, KB5034176, KB5034184 참고자료 https://msrc.microsoft.com/upda..

1. 랜섬웨어 통계 2023년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 16건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 8월과 11월에 가장 많이 발견됐다. 2023년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2023년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 35%로 가장 많았고, 모네로(XMR)를 요구하거나 ..

우크라이나의 통신 서비스 제공 업체인 Kyivstar의 핵심 네트워크 시스템이 모두 삭제된 정황이 발견됐다. 우크라이나의 보안국(SSU)는 지난 23년 5월경에 피해 업체의 네트워크를 침해했다고 언급했다. 해당 사건으로 모바일 및 데이터 서비스가 중단돼, 약 2,500만 명의 모바일 및 가정용 인터넷 가입자 대부분이 인터넷에 접속하지 못했다고 전했다. 한편, 러시아의 Solntsepek 해커 그룹이 자신들이 피해 업체의 컴퓨터 10,000대와 서버 수천 대를 삭제했다고 주장하는 글을 텔레그램에 게시했다. 또한 피해 업체가 우크라이나 군대, 정부 기관 및 법 집행 기관에 통신을 제공하기 때문에 공격했다고 덧붙였다. 보안국은 Solntsepek 해커 그룹이 Sandworm 러시아 군사 해커 그룹의 배후에 있..

미국의 CISA와 FBI에서 “AndroxGh0st” 악성코드의 침해 지표와 기술 정보를 발표하면서 주의할 것을 권고했다. “AndroxGh0st” 악성코드는 웹사이트의 자격 증명을 탈취하거나 봇넷을 생성하는 Python 스크립트이다. CISA와 FBI 측은 해당 악성코드가 사용한 3개의 원격 코드 실행 취약점과 공격 방식을 공개했다. 첫 번째로 CVE-2017-9841로 번호가 매겨진 취약점을 이용해 PHPUnit 모듈을 공격한다. 해당 취약점은 PHPUnit 모듈에서 HTTP POST 요청에 있는 PHP 코드를 제대로 검증하지 않아 발생한다. 이를 이용한 공격자는 통합 자원 식별자(URI)를 이용해 악성 파일을 다운로드하거나 악성 웹사이트를 만들어 백도어로 사용하는 등의 공격을 한다. 두 번째는 오픈..

4분기 국가별 해커 그룹 동향 보고서 러시아 2023년 4분기 러시아의 해커 그룹 Winter Vivern과 Gamaredon 그룹의 공격이 발견됐다. Winter Vivern 해커 그룹은 Roundcube 제로데이 취약점을 악용해 유럽 정부 기관과 싱크탱크를 대상으로 공격했고, Gamaredon 해커 그룹은 USB 드라이브로 악성코드를 확산하고 C&C 서버와 통신해 추가 악성 행위를 수행하는 것으로 확인됐다. Winter Vivern 2020년도부터 활동한 Winter Vivern 해커 그룹은 인도, 이탈리아 및 우크라이나 등을 포함해 전 세계 정부 기관을 표적으로 삼는 것이 확인된다. 해당 그룹에서 악성 문서, 피싱 웹사이트 및 백도어를 사용한 공격이 여러 차례 발견됐다. 지난 8월부터 9월 사이에 ..

최근 “Rhadamanthys” 스틸러 악성코드의 유포 정황이 잇따라 발견되고 있다. 해당 악성코드는 모듈식 구조로 필요한 기능을 추가하거나 최소한의 필요한 기능만 실행하는 등 공격자가 대상과 목적에 맞게 커스텀할 수 있다. 해당 악성코드가 실행되면 내장된 모듈이 차례대로 로드 및 실행되며, 최종적으로 스틸러 페이로드를 다운로드해 정보 탈취를 목적으로 한다. “Rhadamanthys” 스틸러는 [그림 1]과 같이 코드 인젝션, 분석 방지 및 C&C 서버 통신을 수행하는 각각의 모듈로 구성된다. 분석 방지 모듈의 조건을 통과하면, C&C 서버에서 추가 명령 및 페이로드를 수신한다. 악성코드를 실행하면, 먼저 내부 디코딩 루틴을 사용해 쉘 코드를 생성하고, 메모리에 공간에 로드 후 실행한다. 생성된 코드는 ..

개요 GitLab 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - GitLab Community Edition 16.7.2 - GitLab Enterprise Edition 16.7.2 참고자료 https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

1. 랜섬웨어 피해 사례 2023년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 락빗(LockBit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 독일의 숙박 업체가 블랙캣 랜섬웨어 공격을 받았고, 11월과 12월에는 캐나다 이주 서비스 제공 업체와 국내 골프 업체가 각각 락빗과 블랙수트(BlackSuit) 랜섬웨어 공격을 받아 피해가 발생했다. 블랙캣(BlackCat) 랜섬웨어 피해 사례 지난 12월, 미국의 법무부에서 블랙캣 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 또한 해당 수사 과정에서 FBI 측이 암호 해독 도구를 개발해 추가 피해를 막았다고 전했다. 현재, 블랙캣 측이 운영하던 데이터 ..