잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 51건으로 가장 많은 데이터 유출이 있었고, “Vice Society” 랜섬웨어가 12건으로 두번째로 많이 발생했다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 36%로 가장 높은 비중을 차지했고, 독일과 캐나다가 5%, 브라질 및 영국, 태국 등이 각각 4%로 그 뒤를 따랐다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 ..

개요 Google 사는 Chrome에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Chrome v108.0.5359.94/.95및 이후 버전 참고자료 https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=ko

최근, 크롬 웹 스토어에서 20만 다운로드 수를 기록한 악성 확장 프로그램이 발견됐다. 이 확장 프로그램은 게임 플랫폼 Roblox에서 유저 검색을 지원하는 "SearchBlox"로, 업데이트 이후 백도어가 포함된 것으로 알려졌다. 공격자는 해당 백도어를 통해 Roblox 게임 유저들의 계정을 탈취했으며 Roblox 거래 플랫폼인 Rolimons에서 게임 내 화폐인 Robux를 탈취한 것으로 밝혀졌다. 구글 측은 현재 해당 악성 확장 프로그램을 크롬 웹 스토어에서 삭제했다고 알렸다. 사진출처 : Roblox Wiki 출처 [1] BleepingComputer (2022.11.23) - Backdoored Chrome extension installed by 200,000 Roblox players htt..

최근, DDoS 공격과 암호화폐 채굴 기능을 가진 "KmsdBot" 악성코드가 발견됐다. 보안 업체 Akamai에 따르면 "KmsdBot"은 GO 언어로 작성됐으며, 취약한 SSH 계정을 통해 감염된다고 알려졌다. 해당 악성코드에 감염될 경우, DDoS 공격을 시도하고 암호화폐 채굴 도구인 "XMRig"을 통해 암호화폐를 채굴한다. Akamai는 이러한 악성코드로부터 시스템을 보호하기 위해 SSH 연결에 공개키 인증을 사용할 것을 권고했다. 사진출처 : Akamai 출처 [1] Akamai (2022.11.10) – KmsdBot: The Attack and Mine Malware https://www.akamai.com/blog/security-research/kmdsbot-the-attack-and-..

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는..

지난 4월, 해킹 포럼을 통해 봇넷 악성코드로 판매되던 "Aurora"가 인포스틸러 악성코드로 돌아왔다. 보안 업체 Sekoia에 따르면, 이 악성코드는 Go 언어로 작성됐으며, 암호화폐 지갑 등의 소프트웨어로 위장해 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 암호화폐 지갑 데이터와 브라우저 쿠키 및 화면 스크린샷 등의 정보를 수집해 공격자의 C&C 서버에 전송한다. 또한, 추가 악성코드를 다운로드하고 실행할 수 있는 다운로더 기능이 포함됐다고 밝혀졌다. 사진출처 : Sekoia 출처 [1] Sekoia (2022.11.21) – Aurora: a rising stealer flying under the radar https://blog.sekoia.io/aurora-a-rising-steale..

피해자의 디스코드 토큰을 탈취하는 “AXLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어를 유포한 공격자는 디스코드에서 제공하는 웹훅 기능을 악용해 사용자 PC에서 수집한 정보를 직접 운영하는 디스코드 채팅 방으로 전송한다. 또한, 파일의 속성을 변경해 육안으로 발견되지 않도록 숨기고, 파일을 암호화한 후 랜섬노트를 띄운다. “AXLocker” 랜섬웨어를 실행하면 사용자 PC의 파일을 암호화하며, 암호화가 완료된 파일은 파일 명에 확장자를 추가하지 않고 원본 파일 명을 그대로 사용한다. 암호화 과정이 완료되면 [그림 1]의 랜섬노트를 띄운다. 암호화 진행 대상은 [표 1]의 암호화 제외 폴더를 제외한 경로에서 암호화 대상 확장자를 지닌 파일이다. 또한, 사용자에게 파일이 보이지 않도록 [그림 2]와 같이..

최근, 암호화폐 플랫폼의 고객센터를 사칭해 다단계 인증을 우회하고 암호화폐를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 PIXM에 따르면, 공격자가 암호화폐 플랫폼을 사칭한 피싱 사이트에서 사용자의 로그인 오류를 발생시킨 후, 고객 지원을 가장한 채팅을 통해 사용자로부터 계정 정보 입력을 유도하는 것으로 알려졌다. 해당 계정 정보를 통한 로그인에 실패할 경우, 공격자는 사용자에게 원격 제어 앱 'TeamViewer'의 설치를 요구하며 해당 앱으로 인증 정보를 탈취해 계정 로그인을 시도한다. 로그인에 성공할 경우, 실시간 채팅으로 사용자의 주의를 끌며 사용자 지갑의 암호화폐를 모두 탈취한다. 사진출처 : PIXM 출처 [1] PIXM (2022.11.21) - Cybercrime Group Expands..

개요 Google 사는 Chrome에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Chrome v107.0.5304.121/.122 (Windows), v107.0.5304.121 (Mac, Linux), v107.0.5304.141 (Android) 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=67045 https://chromereleases.googleblog.com/2022/11/stable-channel-update-f..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 높음(High) 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco ISE v2.6p12, v2.7p8, v3.0p7, v3.1p4 및 이후 버전 참고자료 https://tools.cisco.com/security/center/publicationListing.x https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-csrf-vgNtTpAs