잉카인터넷 시큐리티대응센터 블로그

최근 Rust 프로그래밍 언어에서 CVE-2022-21658로 불리는 권한 상승 취약점이 발견됐다. 해당 취약점은 std::fs::remove_dir_all 표준 라이브러리 함수를 제대로 처리하지 못해 발생하는 취약점이다. 외신은 이를 악용하면 권한이 없는 사용자가 파일 및 디렉터리를 삭제할 수 있다고 언급했다. 이에 대해 Rust 보안 팀은 해당 취약점에 대한 보호 기능이 있지만, 표준 라이브러리에서 올바르게 구현되지 않아 취약점이 발생했다고 알렸다. 출처 [1] SecurityAffairs (2022.01.24) - A flaw in Rust Programming language could allow to delete files and directories https://securityaffairs...

20,000개 이상의 WordPress 사이트에 설치된 플러그인에서 크로스 사이트 스크립트 취약점이 발견되었다. 이는 WP HTML Mail 플러그인의 취약점으로, WP HTML Mail WordPress 이메일 템플릿 디자이너 플러그인이다. 해당 취약점은 CVE-2022-0218로 지정되었으며, 이 취약점을 사용하면 REST-API 끝점을 실행하여 이메일의 테마 설정에 접근이 가능하다. 인증되지 않은 사용자가 액세스 권한을 획득하여 이메일 템플릿을 쉽게 변경할 수 있고, HTML 메일 편집기에 자바 스크립트 등을 삽입할 수 있다. 사진 출처: Wordfence 출처 [1] Wordfence (2022.01.25) - Unauthenticated XSS Vulnerability Patched in HTM..

최근, 글로벌 물류 업체인 "DHL" 아이콘으로 위장한 "Aberebot" 악성 앱이 발견되었다. 해당 악성 앱은 실행 시 "DHL"앱인 것처럼 화면을 출력하지만 아무런 기능이 존재하지 않는다. 하지만, 백그라운드 동작 방식으로 사용자 단말기의 민감한 정보들을 수집하고 텔레그램을 이용하여 데이터를 전송하기 때문에 사용자들의 주의가 필요하다. 과거 자사 블로그에서는 "Aberebot" 에 대하여 다룬 적이 있다. 해당 내용은 아래에서 확인해 볼 수 있다. ▶ Aberebot 악성 앱 주의 과거 악성 앱과 비교하였을 때 이번에는 기존의 금융 앱들 뿐만 아니라, 사용자들이 자주 이용하는 SNS (Facebook, Instagram) 들이 오버레이 공격 목록에 추가되었다는 점과 알림 메시지의 내용을 수집하여 전..

최근 파워포인트 문서를 사용해 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인에서 발견한 악성 문서를 실행하면 공격자가 운영하는 C&C 서버에서 "Warzon" 또는 "AgentTesla" 악성코드를 다운로드 및 실행한다. 보안업체 NetSkope는 해당 캠페인에서 공격자들이 Blogger나 GitHub 등의 정상적인 클라우드 서비스를 악용해 악성코드를 유포한다고 알렸다. 또한, 악성코드를 실행해 사용자 PC를 조작하거나 암호 화폐 등의 정보를 탈취할 수 있다고 언급했다. 출처 [1] NetSkope (2022-01-25) - Infected PowerPoint Files Using Cloud Services to Deliver Multiple Malware https://www.netskope.co..

최근 암호화폐 지갑 등에서 정보를 탈취하는 BHUNT 악성코드가 발견됐다. 보안 업체 BitDefender는 BHUNT 악성코드가 Microsoft 제품의 불법 인증 툴인 KMSpico를 통해 사용자들에게 유포됐으며, 특정 업체에서 훔친 디지털 서명을 사용했다고 알렸다. 또한, Blackjack 등으로 이름 붙여진 5개의 모듈을 사용해 암호화폐 지갑 정보와 브라우저 암호 등을 탈취할 수 있다고 언급했다. 출처 [1] BitDefender (2022-01-25) - Poking Holes in Crypto-Wallets: A Short Analysis of BHUNT Stealer https://www.bitdefender.com/blog/labs/poking-holes-in-crypto-wallets-a..

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신은 해당 랜섬웨어가 VMware에서 제공하는 커맨드 라인 툴인 esxcli를 사용해 서버의 모든 ESXi 관련 시스템을 종료한다고 알렸다. 이후, “AvosLocker” 랜섬웨어는 암호화한 파일에 ".avoslinux" 확장자를 추가하고 "README_FOR_RESTORE"라는 이름의 랜섬노트를 생성해 감염된 PC의 사용자에게 랜섬머니를 요구한다. 사진 출처 : Twitter 출처 [1] Twitter (2022-01-25) - AvosLocker 리눅스 버전 관련 내용 트위터 게시글 https://twitter.com/ChristiaanBeek/status/148..

2022년 1월경, 우크라이나의 정부 관련 조직 다수가 "WhisperGate" 공격으로 인해 운영이 중단됐다. 해당 공격은 랜섬웨어로 위장했지만 실질적으로 복구가 불가능한 파괴형 악성코드로 랜섬머니를 얻기보다는 대상 장치의 작동을 불가능하게 만들도록 설계되었다. ▶ 아래의 링크는 해당 악성코드에 대해 게시된 자사 블로그 정보성 글이다. 2022.01.17 - [최신 보안 동향] - 우크라이나를 표적으로 한 악성코드 등장 "WhiperGate" 악성코드는 두 단계의 악성 파일을 유포한 후 실행시킨다. 1단계의 악성 파일은 사용자 PC의 MBR을 랜섬노트 출력하는 코드로 변경하여 사용자가 재부팅 시 PC가 켜지지 않고, 공격자가 지정한 랜섬노트를 띄운다. 이후 악성코드는 자동으로 재부팅을 수행하지 않고, ..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco StarOS SW용 RCM v21.25.4 및 이후 버전 - Cisco ConfD v6.3.9.1, v6.4.7.2, v6.4.8, v6.5.7, v6.6.2, v6.7.1 및 이후 버전 - Snort Project v2.9.18, v3.1.0.100 및 이후 버전 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq htt..

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..

최근, 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 이 앱은 알림 화면 등에서 한국어를 사용하여 한국인을 대상으로 공격을 시도하는 것으로 추정되며, 단말기에 저장된 문자메시지를 비롯하여 연락처, 이미지 정보를 탈취한다. 해당 앱은 앱스토어와 같이 일반적인 설치 경로가 아닌, 웹 페이지를 통해 유포된 것으로 전해진다. 아래의 이미지와 같이 다운로드 서버에 연결하면 악성 앱이 다운로드된다. 현 시점에는 해당 서버에 연결되지 않는다. 앱을 실행하면, 아래의 그림과 같이 악성 동작에 필요한 각종 권한을 요구한다. 권한을 획득한 다음, 앱에서 서버 점검중이라는 화면을 띄우지만, 정보탈취 동작을 수행한다. 연락처 정보 중에서 고유 ID, 연락처 이름, 전화번호, 별명 정보를 획득하여 원격지에 전송하..