TACHYON 1328

빠른 속도로 전파 중인 P2PInfect 악성코드

최근 봇넷으로 알려진 "P2PInfect" 악성코드가 급속도로 전파 중인 정황이 발견됐다. 보안 업체 Cado Security는 확인된 건수가 지난 8월 말과 비교해 600배 증가했다고 언급하며 리눅스 환경에서 발견된 샘플의 분석 보고서를 공개했다. 공격자는 클라우드 서비스의 인스턴스를 노드로 구성하고 SSH를 사용해 악성코드를 유포한다. "P2PInfect" 악성코드는 피해자 시스템에서 스케줄러인 cron을 사용해 30분마다 기본 페이로드를 실행하도록 지속성을 설정한다. 또한, 로컬 호스트의 소켓으로 기본 페이로드의 메인 프로세스를 모니터링하며, 프로세스 종료로 바이너리가 삭제되면 다른 노드에서 메인 바이너리를 가져와 실행한다. 이 외에도 공격자의 SSH 키로 SSH Authorized keys 파일을..

오토잇 스크립트를 활용하는 SuperBear RAT

최근 공격 대상의 조직 구성원을 사칭한 이메일을 이용해 저널리스트를 대상으로 유포되는 “SuperBear” RAT가 발견됐다. 이메일에 첨부된 악성코드를 실행하면, 자동화 프로그램인 오토잇(AutoIt)의 실행파일과 스크립트가 다운로드 되며, 해당 스크립트는 프로세스 할로잉(Process Hollowing) 기술을 사용해 “SuperBear” 코드를 메모리에 주입한다. 이후, “SuperBear”는 C&C 서버에 연결해 명령어를 수신하고, 추가적인 악성 동작을 수행한다. 오토잇 스크립트가 실행되면, 먼저 내부 데이터를 복호화해 “SuperBear”의 PE 코드를 생성한다. 이후, 프로세스 할로잉 대상이 될 “explorer.exe” 프로세스의 인스턴스를 suspended 상태로 생성한다. 생성된 “exp..

YouTube 앱을 사칭해 감시하는 CapraRAT 악성코드

최근 APT36 해커 그룹이 YouTube 앱을 사칭한 "CapraRAT" 악성코드를 배포하는 정황이 발견됐다. APT36 해커 그룹은 자체 운영 웹사이트와 사회 공학 기법을 사용해 구글 플레이 스토어 외부에서 악성코드를 배포한다. 사용자가 파일을 설치하면 "CapraRAT"은 마이크, 전면 및 후면 카메라를 이용한 녹음과 모니터링과 같은 수많은 위험 권한을 요청한다. 이때 사용자가 권한을 수락하면 공격자는 감염된 기기에서 통신 정보와 같은 민감한 개인 정보를 탈취한다. 보안 업체 SentinelLabs는 해당 공격이 카슈미르 분쟁 지역 관련 조직과 파키스탄 인권 운동가의 감시를 목적으로 사용된다고 언급했다. 외신은 해당 악성코드가 지속적으로 업데이트되고 있다고 덧붙이며, 공식 구글플레이 스토어 외부에서..

스마트폰의 비밀번호를 훔치는 WiKI-Eve 공격

최근 WiFi를 사용하는 스마트폰의 텍스트 전송을 가로채 비밀번호를 훔치는 'WiKI-Eve' 공격이 발견됐다. 'WiKI-Eve'는 2013년 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용한다. 이때 BFI의 문제점은 정보 교환에 일반 텍스트 형식의 데이터가 포함돼 있어 암호화 키 크래킹 없이도 텍스트 데이터를 가로챌 수 있다. 해당 취약점으로 공격자는 단순히 네트워크 트래핑 모니터링 도구와 기계 학습 프레임 워크를 사용하여 비밀번호를 추론할 수 있다. 'WiKI-Eve'는 6자리 숫자 비밀번호일 경우 100회 미만의 시도에서 85%의 성공률을 가지며 모든 테스트에서 75%이상의 성공을 보이고 있다. 하지만 공격자와 액세스 포인트 사이의 거리가 멀 경우 추측 성공률이 감소하는 것으로 확인됐..

LockBit 랜섬웨어를 대체하는 3AM 랜섬웨어

최근 “LockBit” 랜섬웨어의 공격이 차단된 시스템에서 “3AM” 랜섬웨어로 공격을 시도한 정황이 발견됐다. “3AM” 랜섬웨어는 Rust 언어를 사용하며 매개 변수로 공격을 설정할 수 있다. 공격을 시작하면 파일을 암호화하기 전에 보안 및 백업 관련 서비스를 종료하고 볼륨 섀도우 복사본을 삭제한다. 또한, 침투 테스트 도구인 Cobalt Strike와 사용자의 시스템 정책 설정을 확인하는 gpresult 명령을 사용하고, 원격 제어 도구인 PsExec를 사용해 권한을 상승시킨다. 이 외에도 whoami, netstat 및 wput 같은 명령어로 시스템을 정찰해 파일을 탈취하고, 지속성을 설정하기 위해 사용자를 추가하는 등의 공격을 한다. 이후 파일을 암호화해 파일명에 “.threeamtime” 확장..

Google, Mozilla 제품 보안 업데이트 권고

개요 Google과 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Google Chrome for Mac, Linux 116.0.5845.187 - Google Chrome for Windows 116.0.5845.187/.188 - Firefox 117.0.1 - Firefox ESR 115.2.1 - Thunderbird 115.2.2 참고자료 https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html ht..

취약점 정보 2023.09.15

Microsoft 9월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5002483, KB5002497, KB5029921, KB5029924, KB5030178, KB5030179, KB5030180, KB5030181, KB5030182, KB5030183, KB5030184, KB5030185, KB5030186, KB5030211, KB5030214, KB5030216, KB5030217, KB5030219, KB5030325, KB5030559, KB5030560 참고자료 https://msrc.microso..

취약점 정보 2023.09.13

은행과 물류 산업을 노리는 Chaes 악성코드 변종

최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다. 사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다. 최종적으로 사용자의 시스템에서 C&C 서버로 파일..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco branch AP.platform.23.0.1075.ap385341 - Cisco Release Independent 2023.06_1.333, 2023.07_1.332 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-auth-bypass-kCggMWhX

취약점 정보 2023.09.08

Android 제품 보안 업데이트 권고

개요 Google과 Qualcomm 사는 Android에서에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android 11, 12, 12L, 13 참고자료 https://source.android.com/docs/security/bulletin/2023-09-01 https://docs.qualcomm.com/product/publicresources/securitybulletin/september-2023-bulletin.html

취약점 정보 2023.09.08