잉카인터넷 시큐리티대응센터 블로그

최근 안드로이드 단말기 사용자를 대상으로 은행을 사칭한 악성 앱의 공격이 급증하고 있다. 이는 코로나 19로 인해 대출 상품의 이용이 증가하고 있는 사회적 이슈를 악용한 공격으로, 올해 중순부터 지속적으로 발견되고 있다. 이러한 공격은 지난 8월 초, 국내의 한 금융 회사로 위장한 모습으로 처음 발견되었다. 해당 악성 앱은 정상 앱과 매우 유사한 모습을 하고 있으나, 과도한 권한을 요구하고 사용자의 각종 정보를 탈취하는 등의 악성 동작을 수행한다. 이에 관한 자세한 정보는 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/4323 최근 발견된 악성 앱들은 아래의 [그림1]과 같이 국내에 있는 각종 은행을 사칭하고 있다. 해당 악성 앱들의 메인 화면은 매우 유사한 모습을..

잉카인터넷 대응팀은 2021년 9월 24일부터 2021년 9월 30일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "HotCoffee" 1건, 변종 랜섬웨어는 "Stop" 외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점이 발견됐으며 "RansomEXX" 그룹의 Linux 랜섬웨어에서 오점을 발견했다. 2021년 9월 24일 Jigsaw 랜섬웨어 파일명에 ".fun" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Jigsaw" 랜섬웨어의 변종이 발견됐다. BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점 발견 2021년 7월에 처음 등장한 "BlackMatter" 랜섬웨어..

지난 9월 초 "LockBit" 랜섬웨어 조직이 직접 운영하는 데이터 유출 사이트에 유명 식품업체의 미국 법인에서 탈취했다고 주장하는 데이터를 처음 게시했고, 최근 탈취한 데이터 중 일부를 추가로 공개했다. 2021.09.06 - 유명 식품업체 미국 법인 데이터 유출 사건, 개인 정보 유출 주의! 해커가 추가로 공개한 데이터에는 [그림 2]와 같이 피해 업체의 사업 및 재무 정보와 관련된 파일이 존재했다. 이 중 [그림 3]과 재무 정보가 상세히 작성됐거나 최근 작성된 문서 파일도 확인되고 있다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안..

최근 카스퍼스키가 UEFI 부트킷을 사용해 실행하는 핀스파이(FinSpy) 악성코드의 정보를 공개했다. 카스퍼스키에 따르면 핀스파이 악성코드의 실행을 위해 UEFI 부트킷을 사용하는 경우는 처음이며, 해당 악성코드를 실행하면 파일 목록, 웹캠 데이터 등의 사용자 데이터를 탈취할 수 있다고 한다. 또한, 탐지 우회를 위해 난독화 등의 기술이 적용돼 탐지가 어렵다고 언급했다. 추가로, 핀스파이 관련 IoC를 보고서에 공개했으며 추후에 추가 분석 정보를 고객들에게 제공할 것이라고 알렸다. 출처 [1] Kaspersky (2021.09.30) - FinSpy: unseen findings https://securelist.com/finspy-unseen-findings/104322/

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다. 해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다. 아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다. 2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow 'SparrowDoor' 악성코드는 보안 프로그램으로..

국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 정부의 지원을 받아, 긴 시간 동안 여러 국가 및 기관을 대상으로 공격을 수행해왔다. 오랜 활동으로 Cobalt Strike와 같이 알려진 악성 코드도 존재하지만, 지속적으로 감염 방식에 변화를 주며 공격을 시도하고 있다. 최근 캠페인에서는 제로데이 취약점을 사용하여 공격을 시도하기도 하였으며, 새로운 악성코드가 발견되기도 하였다. Turla Turla 그룹은 러시아 정부를 배후로 둔 해커그룹으로, 2004년부터 활동한 것으로 추정된다. 해당 그룹은 각국의 군사 및 교육, 연구기관 등 여러 산업 분야를 대상으로 APT 공격을 수행한다. 9월 중순에는 이 그룹의 것으로 추정되는 새로운 악성코드가 발견되었다. 이 악성코드는 미국과 독일, 아프가니스탄 정..

1. 랜섬웨어 피해 사례 2021년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "소디노키비(Sodinokibi)", "락빗(LockBit)", "랜섬EXX(RansomEXX)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 7월에는 독일 화학 유통 업체 Brenntag이 "다크사이드(DarkSide)" 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 통신 업체 SAC Wireless와 일본 광학 및 복사 제품 업체 Olympus가 각각 "콘티(Conti)"와 "블랙매터(BlackMatter)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 3분기에 미국의 IT 관리용 솔루..

트로이 목마 Cerberus 기반으로 만들어진 새로운 형태의 Android 뱅킹 트로이목마 ERMAC가 발견되었다. ERMAC은 7월 말에 등장하여 Google Chrome, 안티바이러스, 뱅킹 및 미디어 앱으로 위장하여 사용자들에게 유포되었다. 해당 악성코드는 Cerberus와 동일하게 사용자의 개인정보를 탈취, 설치된 응용 프로그램을 동작 할 수 있다. RAT와 같이 강력한 기능을 가진 것은 아니지만 모바일 뱅킹 사용자 및 금융기관에 위협적인 악성코드임으로 주의가 필요하다. 출처 [1] threatfabric (2021-09-29) - ERMAC - another Cerberus reborn https://www.threatfabric.com/blogs/ermac-another-cerberus-reb..

최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다. 해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다. Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot 은 Telegram 에서 최근에 새로 추가..

최근 "BlackMatter" 랜섬웨어 조직이 직접 운영하는 데이터 유출 사이트에 국내 유명 식품업체에서 탈취했다고 주장하는 데이터 중 일부를 공개했다. 해커가 공개한 데이터에는 [그림 2]와 같이 해당 기업에서 탈취한 2021년도까지의 문서 및 사진 파일이 약 150GB가 존재했다. 이 중 [그림 3]과 같이 기업 직원들의 개인 정보가 포함된 파일과 기업의 중요한 문서가 다량 확인되고 있다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다. 더불어 사이버 공격으로 인한 데이터 침입 및 유출을 인지한 경우 수사기관과 한..