잉카인터넷 시큐리티대응센터 블로그

최근에 한국인터넷진흥원을 사칭한 피싱 메일이 유포되는 정황이 발견됐다. 사용자는 한국인터넷진흥원으로 표시된 발신자로부터 자신의 계정으로 스팸 메일이 발송됐다는 내용의 메일을 수신하게 된다고 알려졌다. 하지만 실제로 발신자의 이메일 주소는 한국인터넷진흥원의 주소(kisa.or.kr, krcert.or.kr)와 다른 것으로 전해졌다. 또한, 메일에는 계정이 노출됐다고 언급하면서 “비밀번호 변경” 링크로 접속하도록 유도하는데, 실제로는 공격자가 준비한 피싱 사이트로 연결된다는 사실이 밝혀졌다. 이에 대해 한국인터넷진흥원 측은 메일 수신 시에 발신자 정보를 정확히 확인하고, 이메일에 연결된 사이트 주소가 정상 사이트 주소와 일치하는지 확인할 것을 당부했다. 출처[1] 한국인터넷진흥원 (2024.08.07) – ..

최근 사이버 보안 연구원들이 Chameleon 안드로이드 뱅킹 트로이 목마의 새로운 기술을 발견했다. 보안 업체 ThreatFabric은 Chameleon이 고객 관계 관리(CRM) 앱으로 위장해 캐나다 레스토랑 체인을 표적으로 삼고있다고 밝혔다. 해당 앱은 설치되면 CRM 앱의 가짜 로그인 페이지를 표시한 다음 사용자에게 앱을 다시 설치하라고 요청하는 오류 메시지를 표시하지만, 실제로는 Chameleon 페이로드를 배포한다. 이후 Chameleon이 배포되면 백그라운드에서 키로깅을 사용해 사용자의 자격 증명, 연락처 목록 및 지리적 위치 정보 등을 수집하고, 최종적으로 은행 계좌에 접근해 금융 데이터를 훔친다. 외신은 이를 통해 공격자가 민감한 은행 정보와 손상된 기계 정보를 사용해 기타 관련 데이터를..

개요Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Firefox 129- Firefox ESR 115.14, 128.1 참고자료https://www.mozilla.org/en-US/security/advisories/mfsa2024-33/https://www.mozilla.org/en-US/security/advisories/mfsa2024-34/https://www.mozilla.org/en-US/security/advisories/mfsa2024-35/

1. 악성코드 통계악성코드 유형별 비율2024년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 50%로 가장 높은 비중을 차지했고, “Virus”가 14%로 그 뒤를 따랐다.  2. 악성코드 동향2024년 7월(7월 1일 ~ 7월 31일) 한 달간 등장한 악성코드를 조사한 결과, 국내 안드로이드 사용자의 금융 정보를 노리는 "Anatsa" 악성 앱이 발견됐다. 또한, Microsoft의 SmartScreen 보안 기능을 우회하는 "FakeBat" 로더와 "ACR Stealer" 악성코드가 알려졌다. 이 외에도 메일에 첨부한 파일 속 링크를 악용한 "Poco RAT" 악성코드와 광고 차단 프로그램으로 ..

1. 랜섬웨어 통계랜섬웨어 데이터 유출 통계랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.2024년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 47건으로 가장 많은 데이터 유출이 있었고, “Akira” 랜섬웨어가 29건의 유출 사례를 기록했다.  2024년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 53%로 가장 높은 비중을 차지했고, 캐나다가 7%로 그 뒤를 따랐다.  2024년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, ..

2024년 상반기에 “Inc” 랜섬웨어 공격으로 데이터가 유출된 사례가 꾸준히 확인되고 있다. 자사에서 직접 확인한 결과 지난 1분기에는 총 24건의 사례가 있었고, 2분기에는 총 63건을 기록하며 1분기 대비 39건이 증가했다. 또한, 자사에서 게시한 5월 데이터 유출 통계에서 두 번째로 높은 수치를 기록했으며, 6월에는 18건의 데이터 유출 사례를 기록하면서 상위권을 유지하고 있다. 아래의 링크는 자사 블로그에 게시된 2024년 6월 랜섬웨어 동향 보고서이다.2024.07.04 - 2024년 06월 랜섬웨어 동향 보고서  “Inc” 랜섬웨어는 감염 대상을 지정하는 등의 옵션을 제공하며, 암호화를 완료한 파일에 “.INC” 확장자를 추가한다. 옵션을 사용하지 않으면 활성화된 드라이브를 대상으로 감염하고..

최근, 랜섬웨어 조직에서 ESXi 인증 우회 취약점을 악용하는 정황이 발견됐다. Microsoft 측은 CVE-2024-37085로 번호가 매겨진 ESXi 하이퍼바이저 인증 우회 취약점에 대한 보고서를 공개했다. 공격자가 해당 취약점으로 “ESX Admins” 그룹과 사용자를 생성하면, ESXi 하이퍼바이저의 모든 관리 권한을 획득할 수 있다고 언급했다. 또한, 현재까지 “Akira”와 “BlackBasta” 조직에서 해당 취약점을 공격에 사용한 정황이 발견됐다고 덧붙였다. 이에 대해 VMware에서 발표한 보안 업데이트 적용을 권장하며 조직의 네트워크를 보호하는 지침을 안내했다. 한편, CISA 측은 알려진 악용 취약점 카탈로그에 CVE-2024-37085를 추가했으며, 악의적인 공격 경로로 사용될 가..

최근 독일 법인을 사칭한 웹사이트를 통해 가짜 CrowdStrike Crash Reporter 설치 프로그램을 배포했다고 밝혔다. 보안 업체 CrowdStrike는 사용자가 다운로드 버튼을 클릭하면 악성 InnoSetup 설치 프로그램이 포함된 ZIP 아카이브 파일을 다운로드한다고 말했다. 설치를 시작하면 백엔드 서버를 입력하라는 메세지가 보이고 특정 입력을 하지 못하면 오류 메세지가 표시되어 설치가 완료되지 않는다. 이로 인해 설치 프로그램 콘텐츠를 암호화하고, 암호 없이 추가 활동이 발생하지 않도록 해 추가 분석이 불가능하도록 만들었다고 덧붙였다. 또한, 독일어 프롬프트가 사용된 것으로 보아 독일어를 사용하는 CrowdStrike 고객만을 타겟으로 삼고 있음을 추측할 수 있다고 전했다. 최종적으로 프..

최근 구글 플레이 업데이트로 위장해 유포되는 악성 안드로이드 앱 “Antidot”이 발견됐다. 해당 앱을 실행하면 “출처를 알 수 없는 앱 설치” 옵션의 활성화를 요청하고, 구글 플레이 업데이트로 위장한 추가 앱의 설치를 유도한다. 추가로 설치된 앱은 VNC(Virtual Network Computing)를 직접 구현해 감염된 단말기를 원격으로 제어하며, 오버레이 기술을 이용해 정보를 수집하고 공격자가 운영하는 C&C 서버로 정보를 전송한다. “Antidot”을 처음 실행하면 [그림 1]과 같이 구글 플레이 업데이트의 설치가 필요하다는 메시지를 띄우고, “출처를 알 수 없는 앱 설치” 옵션의 활성화를 요청한다. 사용자가 해당 옵션을 활성화하면 구글 플레이 업데이트로 위장한 추가 앱의 설치가 진행된다.  ..

암호화폐 채굴 게임으로 알려진 Hamster Kombat을 악용한 사이버 공격 사례가 여럿 발견됐다. 보안 업체 ESET 측은 Hamster Kombat이 텔레그램 채널에서 공유되는 게임이라고 설명했다. 유포 경로를 악용한 공격자가 텔레그램 채널을 개설해 해당 게임으로 위장한 안드로이드 스파이웨어 “Ratel”을 배포한 정황이 알려졌다. 또한, 해당 게임을 설치할 수 있다고 속여 사용자에게 원치 않는 광고를 보여주는 가짜 앱 스토어 사이트도 발견됐다. 이 외에도 GitHub 저장소를 이용해 “Lumma Stealer”를 윈도우 환경에서 게임을 자동화로 실행할 수 있는 도구라고 소개하면서 유포한 사례가 전해졌다. 이에 대해 ESET 측은 Hamster Kombat 게임이 인기가 많아 앞으로도 사이버 공격에..