잉카인터넷 시큐리티대응센터 블로그

최근 미국의 은행 Citibank를 대상으로 하는 피싱 캠페인이 발견됐다. 외신에 따르면 공격자들이 Citibank를 사칭한 이메일을 전송해 피싱 사이트 접속을 유도한다고 알려졌다. 피싱 사이트에 로그인 할 경우 PIN, 주민등록증 사본과 같은 정보를 요구하며 입력한 모든 정보는 공격자에게 전송된다고 밝혀졌다. 보안 전문가는 메일 발신자 주소를 확인하고 이메일 본문에 포함된 버튼을 클릭하지 않을 것을 권고했다. 사진 출처 : BitDefender 출처 [1] BitDefender (2022.02.24) – Cybercrooks Phish for Login Credentials and Data of Citibank Customers in Ongoing Spam Campaigns https://www.bit..

최근 다크웹 포럼에서 암호화폐를 훔치기 위한 목적의 악성코드 판매 정황이 발견됐다. 해당 악성코드는 사용자가 복사 및 붙여 넣기 기능을 사용할 때 클립보드에 저장된 데이터를 공격자가 지정한 데이터로 변경한다. “ClipBanker” 악성코드는 러시아어를 사용하는 다크웹 포럼에서 25 달러의 가격에 판매되고 있다. 먼저, “ClipBanker” 악성코드는 파일을 자가 복제해 숨김 속성으로 설정한 후, 지속적인 실행을 위해 작업 스케줄러에 등록한다. 해당 악성코드에서 사용하는 C&C 서버 주소나 공격자 암호 화폐 지갑 등의 정보는 리소스 섹션에 저장됐으며, 해당 정보를 디코딩하면 [그림 2]와 같이 악성코드에서 사용할 정보를 확인할 수 있다. "ClipBanker" 악성코드가 실행 중일 때 사용자가 복사한 ..

최근 이탈리아의 보안 업체 Cleafy가 QR 코드 스캔 앱으로 위장한 "TeaBot" 악성 앱을 Play Store에서 발견했다고 발표했다. Cleafy에 따르면 해당 앱을 설치할 경우 업데이트를 요청하는 팝업 메시지를 띄워 "TeaBot" 악성 앱 설치를 유도하며, 설치된 "TeaBot"은 다수의 위험한 권한을 요구하고 키로깅과 계정 탈취 같은 악성 행위를 시도한다고 밝혔다. 또한, 이러한 드로퍼 앱은 설치된 후 악성 앱을 다운로드 받기 때문에 Play Store에 정상 앱으로 등록할 수 있고 일반적인 백신으로는 탐지가 어렵다고 알렸다. 사진출처 : Cleafy 출처 [1] Cleafy (2022.03.01) – TeaBot is now spreading across the globe https://..

1. 악성코드 통계 악성코드 Top10 2022년 2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 2,781 건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Suspicious, Virus, Trojan, Worm 및 Ransom의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 2월(2월 1일 ~ 2월 ..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 52건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 31건으로 두번째로 많이 발생했다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국이 9%, 이탈리아와 독일이 각각 7%로 그 뒤를 따랐다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야..

잉카인터넷 대응팀은 2022년 2월 25일부터 2022년 3월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Conti" 외 4건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 Conti 랜섬웨어 관련 내부 자료를 공개한 이슈가 있었다. 2022년 2월 25일 Conti 랜섬웨어 파일명에 ".VJBZF" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 2022년 2월 27일 Avaddon 랜섬웨어 파일명에 ".BbcDaDdbAD" 확장자를 추가하고 "9gycj_readme_.txt"라는 랜섬노트를 생성하는 "Avaddon" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다..

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..

최근 호주의 보안 업체 Cyble이 "JesterStealer"라는 악성코드가 다크웹에서 유행하고 있다고 발표했다. 해당 악성코드는 주로 피싱 메일을 통해 유포되며 신용카드 정보와 계정 정보 같은 민감한 데이터를 탈취한다. 또한, 흔적을 남기지 않기 위해 탈취한 데이터를 메모리에 저장 후 전송하며 악성 행위를 완료하면 피해자의 시스템에서 자체 삭제된다고 알려졌다. Cyble은 불법 복제 프로그램을 다운로드하지 않고 신뢰할 수 없는 이메일의 링크 접속을 피할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.02.24) – Jester Stealer: An Emerging Info Stealer https://blog.cyble.com/2022/02/24/jester-stealer-..

최근 싱가포르의 보안 업체 CloudSEK이 인도의 EV(Electric Vehicle) 관련 업체들을 사칭한 피싱 캠페인을 발표했다. 해당 업체의 보고서에 따르면 공격자가 Google Ads와 SEO(Search Engine Optimization) 같은 인터넷 마케팅 방법을 악용해 피싱 사이트 접속을 유도한다. 피싱 사이트는 연락처와 메일 등의 개인정보 입력을 요구하는 창을 띄우며 입력한 모든 정보를 공격자에게 전송한다고 알려졌다. CloudSEK은 인도의 EV 사업 공식 사이트인 e-AMRIT를 통해 합법적인 사이트만 접속해야 한다고 권고했다. 사진출처 : CloudSEK 출처 [1] CloudSEK (2022.03.01) – Unearthing the Million Dollar Scams Targ..

최근 보안 업체 ESET이 우크라이나의 비공개 정부 네트워크를 상대로 파괴형 악성코드 IsaacWiper가 사용됐다고 발표했다. ESET에 따르면, IsaacWiper는 IOCTL의 IOCTL_STORAGE_GET_DEVICE_NUMBER 함수를 사용해 물리 드라이브들을 탐지하고, 각 디스크의 첫 번째 0x10000 바이트를 삭제하는 것으로 알려졌다. 또한, 해당 보안 업체는 IsaacWiper가 우크라이나를 대상으로 한 또다른 악성코드 HermeticWiper에 감염되지 않은 조직을 대상으로 공격을 시도했다고 언급했다. 출처 [1] ESET Research (2022.03.01) - IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine..