잉카인터넷 시큐리티대응센터 블로그

최근 국내 대기업이 사이버 공격을 받아 피해 업체의 내부 자료가 유출됐다. 피해 업체를 공격한 것으로 알려진 해외 해커 조직 LAPSUS＄는 탈취한 데이터 약 190GB를 파일 공유 프로그램인 토렌트에 업로드하며 자신들이 공격했다고 주장했다. 해커가 공개한 데이터에는 [그림 2]와 같이 피해 업체에서 사용하는 다수의 소스 코드 등 내부 데이터가 확인됐다. 이번 사건과 관련해 국내 언론사는 피해 업체가 사내 공지를 통해 사이버 공격을 당한 사실을 인정했다는 내용을 전했다. 한편, 국정원 측은 이번 사건으로 유출된 정보를 확인한 결과 산업기술보호법상 국가핵심기술에는 해당되지 않는 것으로 파악하고 있다고 발표했다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 정보 유출의 문..

최근, 우크라이나의 정부기관과 은행이 대규모 DDoS 공격을 받았다. 우크라이나 특수통신정보보호국(SSSCIP)는 24일 발생한 대규모 DDoS 공격으로 일부 정부기관과 은행의 정보 시스템이 마비됐다고 알렸다. 현재, 해당 기관은 공격에 대한 정보를 수집 및 분석하고 있으며, SNS를 통해 현재 상황을 계속해서 업데이트 하겠다고 밝혔다. 또한, 사이버 공격을 받았거나 공격이 의심된다면 CERT-UA로 신고할 것을 권고했다. 사진출처 : Twitter 출처 [1] 우크라이나 특수통신정보보호국 (2022.02.24) – Чергова кібератака на сайти державних органів та банки https://cip.gov.ua/en/news/chergova-kiberataka-na-s..

최근 미국의 은행 Citibank를 대상으로 하는 피싱 캠페인이 발견됐다. 외신에 따르면 공격자들이 Citibank를 사칭한 이메일을 전송해 피싱 사이트 접속을 유도한다고 알려졌다. 피싱 사이트에 로그인 할 경우 PIN, 주민등록증 사본과 같은 정보를 요구하며 입력한 모든 정보는 공격자에게 전송된다고 밝혀졌다. 보안 전문가는 메일 발신자 주소를 확인하고 이메일 본문에 포함된 버튼을 클릭하지 않을 것을 권고했다. 사진 출처 : BitDefender 출처 [1] BitDefender (2022.02.24) – Cybercrooks Phish for Login Credentials and Data of Citibank Customers in Ongoing Spam Campaigns https://www.bit..

최근 다크웹 포럼에서 암호화폐를 훔치기 위한 목적의 악성코드 판매 정황이 발견됐다. 해당 악성코드는 사용자가 복사 및 붙여 넣기 기능을 사용할 때 클립보드에 저장된 데이터를 공격자가 지정한 데이터로 변경한다. “ClipBanker” 악성코드는 러시아어를 사용하는 다크웹 포럼에서 25 달러의 가격에 판매되고 있다. 먼저, “ClipBanker” 악성코드는 파일을 자가 복제해 숨김 속성으로 설정한 후, 지속적인 실행을 위해 작업 스케줄러에 등록한다. 해당 악성코드에서 사용하는 C&C 서버 주소나 공격자 암호 화폐 지갑 등의 정보는 리소스 섹션에 저장됐으며, 해당 정보를 디코딩하면 [그림 2]와 같이 악성코드에서 사용할 정보를 확인할 수 있다. "ClipBanker" 악성코드가 실행 중일 때 사용자가 복사한 ..

최근 이탈리아의 보안 업체 Cleafy가 QR 코드 스캔 앱으로 위장한 "TeaBot" 악성 앱을 Play Store에서 발견했다고 발표했다. Cleafy에 따르면 해당 앱을 설치할 경우 업데이트를 요청하는 팝업 메시지를 띄워 "TeaBot" 악성 앱 설치를 유도하며, 설치된 "TeaBot"은 다수의 위험한 권한을 요구하고 키로깅과 계정 탈취 같은 악성 행위를 시도한다고 밝혔다. 또한, 이러한 드로퍼 앱은 설치된 후 악성 앱을 다운로드 받기 때문에 Play Store에 정상 앱으로 등록할 수 있고 일반적인 백신으로는 탐지가 어렵다고 알렸다. 사진출처 : Cleafy 출처 [1] Cleafy (2022.03.01) – TeaBot is now spreading across the globe https://..

1. 악성코드 통계 악성코드 Top10 2022년 2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 2,781 건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Suspicious, Virus, Trojan, Worm 및 Ransom의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 2월(2월 1일 ~ 2월 ..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 52건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 31건으로 두번째로 많이 발생했다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국이 9%, 이탈리아와 독일이 각각 7%로 그 뒤를 따랐다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야..

잉카인터넷 대응팀은 2022년 2월 25일부터 2022년 3월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Conti" 외 4건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 Conti 랜섬웨어 관련 내부 자료를 공개한 이슈가 있었다. 2022년 2월 25일 Conti 랜섬웨어 파일명에 ".VJBZF" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 2022년 2월 27일 Avaddon 랜섬웨어 파일명에 ".BbcDaDdbAD" 확장자를 추가하고 "9gycj_readme_.txt"라는 랜섬노트를 생성하는 "Avaddon" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다..

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..

최근 호주의 보안 업체 Cyble이 "JesterStealer"라는 악성코드가 다크웹에서 유행하고 있다고 발표했다. 해당 악성코드는 주로 피싱 메일을 통해 유포되며 신용카드 정보와 계정 정보 같은 민감한 데이터를 탈취한다. 또한, 흔적을 남기지 않기 위해 탈취한 데이터를 메모리에 저장 후 전송하며 악성 행위를 완료하면 피해자의 시스템에서 자체 삭제된다고 알려졌다. Cyble은 불법 복제 프로그램을 다운로드하지 않고 신뢰할 수 없는 이메일의 링크 접속을 피할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.02.24) – Jester Stealer: An Emerging Info Stealer https://blog.cyble.com/2022/02/24/jester-stealer-..