잉카인터넷 시큐리티대응센터 블로그

컴퓨터를 사용하던 중 악성코드에 감염되거나 실수로 시스템 파일을 삭제하는 경우, 예상하지 못한 오류나 문제로 인해 정상적으로 컴퓨터 사용이 어려울 수 있다. 이때 Microsoft Windows 에서 제공하는 "시스템 복원" 기능을 사용하여 시스템 설정을 복구 할 수 있다. 시스템 복원이란? "시스템 복원"은 소프트웨어 및 복구를 위해 Microsoft Windows에서 제공하는 도구로, 사용자는 "시스템 복원" 을 통해 시스템 파일, 레지스트리 등 시스템 설정을 이전 상태로 되돌릴 수 있다. 시스템 보호 설정 방법 "시스템 복원"을 사용하기 위해서는 “시스템 보호”와 “복원 지점”을 설정해야 한다. "시스템 보호"를 설정하기 위해서는 "시작 → 제어판 → 시스템 및 보안 → 시스템 → 시스템 보호" 순..

시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다. [표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다. 다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 ..

개요 Kaseya 사는 Kaseya VSA (원격 모니터링 및 관리 솔루션) 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Kaseya VSA 9.5.7a (9.5.7.2994) 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36129 https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041-9-5-7a-9-5-7-2994-Feature-Release-11-July-2021

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - 참고자료에 명시되어 있는 내용을 참고하여 패치 적용 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-bfd

잉카인터넷 대응팀은 2021년 7월 02일부터 2021년 7월 08일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 외 5건, 변종 랜섬웨어는 "Sodinokibi" 외 1건이 발견됐다. 이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 “Chaos”로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다. 2021년 7월 2일 Sodinokibi 랜섬웨어 "Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에..

지난 7월 2일경, Kaseya VSA 제품의 On-Premise 고객이 사이버 공격의 표적이 되었으며 Kaseya 측은 조사가 완료될 때까지 사용중인 VSA 서버를 즉시 종료할 것을 권고했다. 또한, Kaseya는 공격 당시 전 세계적으로 약 40명 미만의 피해 고객이 발생했다고 발표했으며 해당 기업의 제품을 이용하는 나머지 고객들이 피해를 입지 않도록 하기 위해 SaaS 서버를 일시적으로 종료하는 조치를 취했다고 밝혔다. 현재 CISA, FBI와 협력하여 이번 공격에 대해 조사중에 있다고 알렸으며 공격의 배후로 "Sodinokibi(REvil)" 랜섬웨어 그룹을 지목했다. 현재까지 지속적으로 피해 사례가 증가하고 있고, 추가적으로 Keseya VSA 보안 업데이트로 위장한 "Cobalt Strike"..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 높음(High) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco WSA용 Cisco AsyncOS v12.0.3-005, v12.0.3-005, v12.5.2 - Cisco BPA v3.1 및 이후 버전 참고자료 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-scr-web-priv-esc-k3HCGJZ https://tools.cisco.com/security/ce..

국가별 해커그룹 공격 사례 러시아 러시아의 해커그룹들은 작년에 이어 올해까지 지속적으로 공격을 수행하고 있다. 그 중, 이번 2분기에는 CozyBear와 FancyBear가 눈에 띄는 APT 공격을 수행하였다. CozyBear 해커그룹은 미국의 정부기관을 대상으로 마케팅 계정의 권한을 사칭하여 다량의 피싱 메일을 유포하였다. 그리고 FancyBear 해커그룹은 이전에 자주 사용하던 Zebrocy를 대체하여 새로운 악성코드를 가지고 공격을 시도하였다. CozyBear (APT29) CozyBear는 러시아 대외정보국 (SVR)을 배후로 두고 2008년부터 활동한 것으로 알려졌으며, Nobelium 또는 APT29 등으로 불린다. 해당 해커그룹은 전세계의 연구기관, 싱크 탱크, 비정부 기관 및 정부 기관 등..

1. 랜섬웨어 피해 사례 2021년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "도플페이머(DoppelPaymer)", "소디노키비(Sodinokibi)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 영국 철도 네트워크 기업 Merseyrail이 "락빗(LockBit)" 랜섬웨어 공격을 받았고, 5월과 6월에는 캐나다 운송 업체 Canada Post와 대만 메모리 및 스토리지 제조업체 ADATA가 각각 "로렌즈(Lorenz)"와 "라그나락커(RagnarLocker)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 1분기에 이어 2분기에도..

최근 새롭게 출시된 소셜 미디어 GETTR가 해킹 공격을 당했다. GETTR는 전 트럼프 보좌관 제이슨 밀러가 설립하여 여러 정치권 인사들이 가입한 것으로 알려졌다. 해당 공격은 지난 일요일 오전에 발생해 약 1시간 30분동안 지속되었으며, 90,000명에 달하는 회원의 정보가 탈취되었다고 전해진다. 공격자는 이메일 주소, 닉네임 등의 사용자 정보를 탈취했다고 주장하며 해당 정보를 해킹 포럼에 게시하였다. 사진 출처: BleepingComputer 출처 [1] BleepingComputer (2021.07.07) – Hacker dumps private info of pro-Trump GETTR social network members https://www.bleepingcomputer.com/news/..