잉카인터넷 시큐리티대응센터 블로그

지난 2월 말, 우크라이나의 업체 및 정부 기관들을 대상으로 한 사이버 공격이 발견됐다. 공격자들은 이번 공격에 주로 와이퍼(Wiper) 악성코드를 사용해 기관들에 피해를 입혔으며, 랜섬웨어를 사용한 정황도 발견됐다. 그리고 공격에 사용된 악성코드 모두 Hermetica Digital Ltd에 발급된 코드 서명 인증서를 사용한다는 특징이 있다. 공격자들이 중동의 키프로스에 위치한 업체인 Hermetica Digital Ltd의 이름으로 인증서를 발급 받은 시기는 2021년 4월 13일로 [그림 1]에서 확인된다. 해당 인증서와 관련해 외신은 Hermetica 측에서 자신들은 인증서의 발급 사실도 몰랐다고 언급한 내용을 전했다. 현재, Hermetica 이름으로 발급된 인증서는 인증 기관에 의해 사용이 중..

최근 미국의 보안 업체 Pradeo가 "Facestealer"라는 악성 앱을 발견했다고 발표했다. 해당 업체에 따르면 이 악성 앱은 사진 편집 기능을 가진 앱으로 위장하고 있으며 Google Play Store에서 유포된다고 알려졌다. 이 악성 앱을 실행할 경우 Facebook 계정을 탈취하기 위한 로그인 페이지가 띄워지며 입력한 Facebook 계정 정보는 공격자에게 전송된다고 알렸다. Pradeo는 이러한 방법으로 탈취된 Facebook 계정이 피싱 링크 전송과 가짜 뉴스 유포 등의 사이버 범죄에 악용된다고 언급했다. 사진출처 : Pradeo 출처 [1] Pradeo (2022.03.21) – Spyware dubbed Facestealer infects 100,000+ Google Play user..

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다. 최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다. 단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록,..

최근 미국의 보안 회사 Mandiant는 ATM 데이터를 탈취하는데 사용되는 "CAKETAP" 루트킷 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "CAKETAP"은 공격자가 Solaris 운영체제를 사용하는 서버에 유포한 루트킷 악성코드로 알려졌다. 또한, "CAKETAP"은 자신의 네트워크 연결과 프로세스 및 파일을 숨길 수 있으며 카드 인증 메시지 조작 등의 악성 행위를 시도한다고 알렸다. Mandiant는 해당 루트킷 악성코드가 ATM의 교환 네트워크를 전송하는 메시지를 조작했으며 승인되지 않은 현금 인출을 시도하는데 활용됐다고 언급했다. 사진출처 : Mandiant 출처 [1] Mandiant (2022.03.16) – Have Your Cake and Eat it Too? An Ov..

최근, 사이버 보안 업체 Trellix가 마카오의 고급 호텔을 표적으로 하는 피싱 캠페인을 발표했다. 해당 보안 업체는 공격자들이 마카오 정부 관광청을 사칭하고 17개의 호텔에 피싱 메일을 발송했다고 알렸다. 또한, 해당 피싱 메일은 악성 매크로가 포함된 Excel 파일을 첨부하고 있으며, 매크로를 실행하면 C2 서버와의 통신을 활성화한다고 언급했다. 한편, Trellix는 동일한 C2 IP 주소, 대상 부문 및 국가의 적합성 및 C2 패널의 유사성을 기반으로 한국의 DarkHotel APT 그룹을 캠페인의 배후로 예상하고 있다. 사진 출처 : Trellix 출처 [1] Trellix (2022.03.17) - Suspected DarkHotel APT activity update https://www...

최근, 미국의 보안 업체 Cofense가 미국 국세청을 사칭한 피싱 캠페인을 발표했다. 해당 업체에 따르면 공격자들이 세금 신고 기간을 악용해 미국 국세청을 사칭한 피싱 메일을 전송했다고 알려졌다. 또한, 피싱 메일에는 Office 매크로가 포함된 첨부파일이 있으며 실행할 경우 피해자의 컴퓨터에 "Emotet" 악성코드를 다운로드 한다고 알렸다. 외신은 미국 국세청이 요청받지 않은 메일은 보내지 않으므로 미국 국세청을 사칭하는 이메일은 스팸으로 처리하고 삭제할 것을 권고했다. 사진출처 : Bleepingcomputer 출처 [1] Cofense (2022.03.16) – Emotet Spoofs IRS in Tax Season-Themed Phishing Campaign https://cofense.co..

최근 사이버 보안 업체 Sophos가 CryptoRom 사기를 통한 암호화폐 탈취를 경고했다. CryptoRom은 Bumble, Tinder 및 Grindr와 같은 유명 데이팅 앱을 통해 피해자들에게 접근한 뒤 암호화폐를 훔치는 사기 유형이다. 해당 보안 업체는 최근 공격자들이 TestFlight 및 WebClips라는 iOS 기능을 악용해 앱스토어 승인을 우회하고 사기성 앱을 설치해 암호화폐를 훔친다고 알렸다. 이와 관련해 Sophos는 소셜 미디어 회사가 관련 사기에 대한 내용을 사용자에게 경고하고, 악성 사용자의 프로필를 제거해야 한다고 언급했다. 사진 출처 : Sophos 출처 [1] Sophos (2022.03.16) - CryptoRom Bitcoin swindlers continue to t..

최근, Wordfence의 연구원들이 유명 호스팅 업체 GoDaddy가 호스팅 하는 WordPress 사이트에서 백도어 감염이 급증하는 것을 발견했다. Wordfence는 해당 내용을 확인한 후, GoDaddy가 호스팅 하는 일부 사이트에서 워드 프레스 설정 파일인 wp-config.php 파일이 변조된 정황을 발견했다고 알렸다. 또한, 변조된 설정 파일에는 감염된 사이트가 검색 결과의 최상단에 노출되도록 조작하는 코드와 함께 공격자가 운영하는 C&C 서버에서 악성 링크 템플릿을 다운로드하는 코드가 포함됐다고 언급했다. Wordfence는 GoDaddy에서 호스팅되는 사이트일 경우 wp-config.php 파일을 수동으로 확인하거나, 악성코드 탐지 솔루션을 통해 사이트가 감염되지 않았는지 확인할 것을 권..

최근, 미국의 보안 회사 Armorblox는 인스타그램을 사칭한 피싱 공격을 발견했다고 발표했다. 해당 업체에 따르면 공격자들이 인스타그램을 사칭한 메일을 전송해 피싱사이트 접속을 유도한다고 알려졌다. 또한, 피싱 사이트는 계정 확인 양식 페이지를 통해 인스타그램 계정을 탈취하기 위한 정보를 요구한다고 알렸다. Armorblox는 계정에 다단계 인증(MFA)을 사용하고 개인용 계정과 업무용 계정에 동일한 비밀번호를 사용하지 않을 것을 권고했다. 사진출처 : Armorblox 출처 [1] Armorblox (2022.03.16) – The Email Bait … and Phish: Instagram Phishing Attack https://www.armorblox.com/blog/the-email-bai..

잉카인터넷 대응팀은 2022년 3월 11일부터 2022년 3월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Encry" 외 4건, 변종 랜섬웨어는 "BlackCat"외 2건이 발견됐다. 2022년 3월 11일 BlackCat 랜섬웨어 파일명에 ".iz5zhcr" 확장자를 추가하고 "RECOVER-iz5zhcr-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면의 배경을 [그림 2]로 변경한다. Stop 랜섬웨어 파일명에 ".ii" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. Nok..