TACHYON 1328

개발자들을 노리는 악성 Python 패키지

최근, 보안 업체 Reversing Labs가 보안 소프트웨어 모듈로 위장한 악성 Python 패키지를 발견했다. 해당 업체는 공격자가 PyPI 패키지 저장소에 보안 업체 Sentinel One을 사칭한 악성 Python 패키지 "SentinelOne"을 업로드 했다고 알렸다. 이 악성 패키지 내부의 "api.py" 파일은 AWS 정보와 SSH 키 및 구성 정보 등의 데이터를 수집해 공격자가 운영하는 C&C 서버로 전송한다고 밝혀졌다. Reversing Labs는 이 사실을 PyPI 보안 팀에 보고했으며, 현재 해당 악성 패키지는 PyPI에서 삭제됐다. 사진출처 : Reversing Labs 출처 [1] Reversing Labs (2022.12.09) - Threat Actor Distributing ..

FIFA 게임으로 위장한 RedLine Stealer 악성코드

최근, FIFA 게임으로 위장한 "RedLine Stealer" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 공격자들이 유튜브 채널에 FIFA 23 크랙 버전의 다운로드 링크와 함께 다운로드 및 설치하는 방법을 업로드 했다고 알려졌다. 다운로드 링크를 클릭해 FIFA 23 크랙 버전을 설치할 경우, "RedLine Stealer" 악성코드가 실행돼 웹 브라우저 쿠키와 신용카드 정보 등의 데이터를 탈취한다. Cyble은 이러한 피해를 예방하기 위해 백신 소프트웨어를 사용하고 알 수 없는 웹 사이트에서 파일을 다운로드 하지 않을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.09) - Threat Actor Distributing Redline Stealer Malw..

FBI가 검색 엔진의 광고를 통한 악성 사이트 접속을 경고

최근, FBI가 검색 엔진의 광고를 통한 악성 사이트 접속을 경고했다. FBI에 따르면, 공격자들이 검색 결과 상위에 나타나는 광고를 구매하고 자신들의 악성 사이트를 광고에 띄워 접속을 유도한다고 알려졌다. 이러한 악성 사이트는 정상 사이트로 위장하고 있으며, 악성코드를 유포하거나 로그인 및 금융 정보를 입력하는 창을 띄워 계정 정보와 금융 정보를 탈취한다고 알렸다. 해당 기관은 이러한 피해를 예방하기 위해 광고 차단 확장 프로그램을 사용할 것을 권고했다. 출처 [1] FBI (2022.12.21) - Cyber Criminals Impersonating Brands Using Search Engine Advertisement Services to Defraud Users https://www.ic3.g..

Facebook 게시물을 이용한 피싱 공격 발견

최근, Facebook 게시물을 악용한 피싱 공격이 발견됐다. 보안 업체 Trustwave는 공격자가 저작권 침해 안내를 가장한 피싱 메일의 본문에 공식 Facebook 문의 게시물로 위장한 악성 게시물 주소를 넣어 접속을 유도한다고 알렸다. 이 악성 게시물에는 저작권 침해 안내 페이지로 위장한 피싱 사이트의 주소가 존재한다. 해당 피싱 사이트에 접속할 경우, 사용자로부터 이메일 주소와 전화번호 및 이름 입력을 요구하는 창을 띄워 입력한 모든 정보를 공격자의 Telegram 계정으로 전송한다. 사진출처 : Trustwave 출처 [1] Trustwave (2022.12.15) - Meta-Phish: Facebook Infrastructure Used in Phishing Attack Chain http..

암호화폐 거래 봇으로 위장한 AppleJeus 악성코드

최근, 암호화폐 거래 봇으로 위장한 "Applejeus" 악성코드가 등장했다. 보안 업체 Volexity에 따르면, 이 악성코드는 암호화폐 거래 봇의 설치 파일로 위장해 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드는 DLL Side-Loading을 통해 실행되며, MAC 주소 등의 시스템 정보를 수집하고 공격자의 C&C 서버에서 쉘코드를 다운로드 후 실행한다. Volexity는 사용된 프로토콜과 PE 메타데이터 구조를 기반으로 이 악성코드가 북한의 해킹 그룹 Lazarus의 캠페인과 관련 있다고 언급했다. 사진출처 : Volexity 출처 [1] Volexity (2022.12.01) - ₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Fro..

WordPress 웹 서버를 공격하는 GoTrim 봇넷 악성코드

최근, WordPress 웹 서버를 공격하는 "GoTrim" 봇넷 악성코드가 발견됐다. 보안 업체 Fortinet에 따르면 이 악성코드는 Go 언어로 개발됐으며, 악성 PHP 스크립트를 통해 유포된다고 알려졌다. 해당 악성코드는 WordPress 웹 서버를 대상으로 무차별 대입 공격을 시도해 대상 서버의 관리자 계정 정보를 탈취한다. 또한, 공격 대상 웹 서버의 백엔드와 직접 통신하며 Captcha와 같은 안티 봇 기능을 우회할 수 있다고 밝혀졌다. 사진출처 : Fortinet 출처 [1] Fortinet (2022.12.12) - GoTrim: Go-based Botnet Actively Brute Forces WordPress Websites https://www.fortinet.com/blog/th..

Minecraft 서버를 공격하는 MCCrash 봇넷 악성코드

최근, 온라인 게임 Minecraft의 개인 서버를 공격하는 "MCCrash" 봇넷 악성코드가 발견됐다. Microsoft 보안팀에 따르면, 이 악성코드는 주로 Windows OS 정품인증 크랙 도구인 KMSAuto 등의 프로그램으로 위장해 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 레지스트리 키를 추가해 지속성을 유지하고 온라인 게임인 Minecraft의 개인 서버를 대상으로 DDoS 공격을 수행한다. 또한, 다른 시스템을 감염시키기 위해 취약한 SSH 계정을 사용하는 리눅스 장치를 찾아 무차별 대입 공격을 시도한다. 사진출처 : Microsoft 출처 [1] Microsoft (2022.12.15) - MCCrash: Cross-platform DDoS botnet targets privat..

피싱 사이트를 통해 유포되는 DarkTortilla 악성코드

최근, 피싱 사이트를 통해 유포되는 "DarkTortilla" 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 맞춤법 검사 프로그램인 Grammarly 설치 파일로 위장해 피싱 사이트에서 유포된다고 알렸다. 해당 파일을 설치할 경우, "DarkTortilla" 악성코드가 실행되고 공격자 C&C 서버에서 "AgentTesla" 및 "Nanocore" 등의 추가 악성코드를 다운로드해 피해자의 정보를 탈취한다. 또한, 피해자의 PC에 존재하는 LNK 파일들을 확인하고 해당 파일의 아이콘으로 위장한 악성 LNK 파일을 생성해 지속성을 유지한다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.16) - Sophisticated DarkTortilla Malware Spreading Vi..

대출 앱으로 위장한 MoneyMonger 악성 앱

최근, 대출 서비스 앱으로 위장한 "MoneyMonger" 악성 앱이 발견됐다. 모바일 보안 업체 Zimperium에 따르면, 이 악성 앱은 주로 스미싱과 소셜미디어 등을 통해 유포된다고 알려졌다. 해당 악성 앱을 실행할 경우, 대출 가능 여부를 확인하기 위해 GPS 데이터 및 저장소 접근 등의 권한을 허용할 것을 요구한다. 이후, 공격자는 허용된 권한으로 연락처 정보와 통화 기록 및 사진 등의 정보를 탈취해 피해자를 협박하는데 사용한다. 사진출처 : Zimperium 출처 [1] Zimperium (2022.12.15) - MoneyMonger: Predatory Loan Scam Campaigns Move to Flutter https://www.zimperium.com/blog/moneymonger..

Facebook 계정을 탈취하는 악성 앱

최근, 베트남 사용자들을 대상으로 Facebook 계정을 탈취하는 "Schoolyard Bully" 악성 앱이 발견됐다. 보안 업체 Zimperium에 따르면 이 앱은 교육용 앱으로 위장해 Google Play Store에서 유포된다고 알려졌다. 해당 앱을 실행할 경우, 앱에 웹 콘텐츠를 표시해주는 도구인 WebView에 악성 자바스크립트를 삽입하여 Facebook 로그인 시 사용자가 입력한 계정 정보를 탈취한다. 현재, 이 앱은 Google Play Store에서 제거됐지만 다른 앱 스토어에서는 제거되지 않아 여전히 다운로드가 가능하다. 사진출처 : Zimperium 출처 [1] Zimperium (2022.12.01) - Schoolyard Bully Trojan Facebook Credential ..