잉카인터넷 시큐리티대응센터 블로그

최근 마이크로소프트 빌드 엔진인 MSBuild를 악용해 코발트 스트라이크를 유포한 정황이 발견됐다. 공격자는 공격에 사용한 MSBuild에 코발트 스트라이크를 빌드 및 실행이 가능하도록 작성한 코드를 추가했다. 이후, 해당 빌드 엔진을 실행하면 공격자의 C&C 서버와 통신해 추가 페이로드를 다운로드한다. 보안 전문가는 이번 사건과 관련해 윈도우 디펜더에서 악성 프로그램 차단 정책을 사용하면 유사한 공격을 무력화할 수 있다고 언급했다. 출처 [1] SecurityAffairs (2021.12.30) - Threat actors are abusing MSBuild to implant Cobalt Strike Beacons https://securityaffairs.co/wordpress/126104/hack..

최근 "AvosLocker" 랜섬웨어 조직이 미국의 정부 기관을 공격한 후, 무료로 복호화 툴을 제공한 정황이 알려졌다. 외신에 따르면 "AvosLocker" 측이 무료로 복호화 툴을 제공한 이유가 법 집행에 대한 두려움 보다는 돈을 받기 어렵기 때문이라고 언급했다고 알렸다. 또한, 공격 대상에 대한 정책은 별도로 없지만, 일반적으로 정부 기관과 병원은 피한다고 밝혔다. 사진 출처 : Twitter 출처 [1] Twitter (2021.12.30) – AvosLocker 관련 트위터 게시글 https://twitter.com/pancak3lullz/status/1476217440442925057 [2] BleepingComputer (2021.12.30) - Ransomware gang coughs up..

최근 자바스크립트로 작성한 "DarkWatchman" 악성코드가 발견됐다. 해당 악성코드는 공격자가 운영하는 C&C 서버에서 명령을 받아 사용자 PC를 조작하며, 키로거 악성코드를 실행해 사용자가 키보드로 입력한 값을 수집 및 공격자에게 전송한다. "DarkWatchman" 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다. 1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다. 2. 사용자가 첨부 파일을 다운로드 한 후, 압축을 해제하면 WinRAR SFX 형태의 압축 파일을 생성한다. 3. 압축 해제 후 생성한 실행 파일을 실행하면 자바스크립트로 작성한 “DarkWatchman” 악성코드를 실행한다. 4. “DarkWatchman” 악성코드는 키로거 파일의..

최근 해외 결제로 위장한 피싱 문자가 소비자에게 전송되고 있다. 문자에는 해외 결제 문자나 결제 시 사용되는 인증 번호 문자로 위장하여 전송되며 문자를 수신한 사용자가 결제 사실이 없어 해당 번호로 전화할 경우 개인정보 등이 탈취될 수 있기에 주의가 필요하다. 만약, 피싱 문자메시지 수신 또는 전화번호로 이미 연락한 경우에는 경찰청(국번없이 112)이나 한국인터넷진흥원에서 운영하는 불법스팸대응센터(국번없이 118)에 신고 및 상담할 것을 권고한다.

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..

잉카인터넷 대응팀은 2021년 12월 17일부터 2021년 12월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BlackCat" 외 5건, 변종 랜섬웨어는 "Dharma" 외 1건이 발견됐다. 2021년 12월 17일 BlackCat 랜섬웨어 파일명에 ".7954i9r" 확장자를 추가하고 "RECOVER-7954i9-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 [그림 2]와 같이 바탕화면의 배경을 변경한다. WannaXD 랜섬웨어 파일명에 ".XD-99" 확장자를 추가하고 "Readme.txt"라는 랜섬노트를 생성하는 "WannaXD" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도..

개요 VMware 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - VMware Workspace ONE UEM console v20.0.8.36, v20.11.0.40, v21.2.0.27, v21.5.0.37 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36398 https://www.vmware.com/security/advisories/VMSA-2021-0029.html

최근 Notepad++의 설치 파일로 위장한 악성코드가 발견됐다. 해당 악성코드는 사용자 PC에 정상 Notepad++를 설치하고, 사용자가 키보드로 입력한 값을 파일로 저장해 공격자에게 전송한다. 또한, 정상 소프트웨어에 악성코드를 추가하는 방식을 주로 사용하는 StrongPity라는 그룹에서 유포한 것으로 알려졌다. StrongPity 그룹에서 유포한 악성코드는 [그림 1]과 같이 진행한다. 1. Notepad++ 설치 파일로 위장한 파일을 실행하면 지정된 경로에 Notepad++ 설치 파일과 Winpickr.exe 및 ntuis32.exe 파일을 드롭한다. 2. Notepad++ 설치 파일을 실행해 사용자 PC에 정상 프로그램인 Notepad++ v8.1.7을 설치한다. 3. 다음으로, update..

최근 Amazon의 AWS가 중단되면서, 해당 서비스를 이용하던 Twitch, Zoom, Hulu 등 여러 기업의 서비스 또한 중단되는 사건이 발생하였다. 이는 2020년부터 종종 발생하였으며, 지난 7일에 이어 일주일 만에 다시 발생한 것으로 알려진다. 이 사건으로 Amazon 배송 경로 및 일정을 확인하는데 문제가 발생하였고, Netflix, Amazon Prime과 같은 스트리밍 서비스에도 영향을 끼친 것으로 밝혀졌다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.17) - AWS down again, outage impacts Twitch, Zoom, PSN, Hulu, others https://www.bleepingcomputer.com..

Apache의 Log4j 제로데이 취약점인 CVE-2021-44228의 보안 업데이트가 배포됐지만 12월 14일, 두번째 취약점이 발견됐다. 이에 대해 업데이트를 발표하였다. Apache는 첫번째 취약점을 보완한 버전인 Apache Log4j v2.15.0이 특정한 구성 요소에서 불완전한 모습을 보인다고 알렸으며 이완 관련된 두번째 취약점에 대해 CVE-2021-45046으로 지정했다. 해당 취약점은 JNDI 조회 패턴에서 악의적인 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킬 수 있다. Apache는 CVE-2021-45046 취약점을 해결하기 위해 Log4j 2.16.0 버전을 출시하며, 사용자에게 최신 릴리스로 업데이트할 것을 권장한다. 사진 출처: Apache 홈페이지 출처 [1] L..