잉카인터넷 시큐리티대응센터 블로그

최근 국내 VPN 기업의 제품에서 발견된 제로데이 취약점이 공개된 정황이 발견됐다. 외신에 따르면 러시아어를 사용하는 다크웹 포럼에서 해당 취약점을 5만 달러에 판매했으며, 이후에 새롭게 발견된 사이버 범죄 포럼에서 해당 취약점이 무료로 공개됐다고 알려졌다. 현재, 취약점 판매 글이 게시된 포럼은 가입에 제한이 있어 접속되지 않았다. 사진 출처 : Therecord 출처 [1] Therecord (2021.10.29) - Ransomware gangs are abusing a zero-day in EntroLink VPN appliances https://therecord.media/ransomware-gangs-are-abusing-a-zero-day-in-entrolink-vpn-appliances/

개요 엔트로링크 사는 VPN 솔루션 제품(PPX-AnyVPN)에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - PPX-AnyLink v5.0.14 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36305 http://www.entrolink.com/home/m_view.php?ps_db=notice&ps_boid=10&ps_mode=

한국원자력연구원이 시사저널에서 작성한 사이버 침해사고 은폐 의혹 기사와 관련해 설명자료를 게시했다. 한국원자력연구원이 공개한 자료에 따르면 신원불명의 공격자가 VPN 시스템의 취약점을 사용해 접속을 시도한 흔적을 확인했으며 이에 따라 관련 IP 차단 및 VPN 시스템의 보안 업데이트를 진행했다고 한다. 또한, 사건 발생 당시 있었던 침해사고 은폐의혹에 대해서는 조사 과정에서 벌어진 실무진 답변의 착오라고 설명했다. 현재, 한국원자력연구원은 관계기관과 이번 사이버 침해사고에 대해 조사중이라고 밝혔다. 출처 : https://www.kaeri.re.kr/board/view?menuId=MENU00326&linkId=9181 출처 [1] kaeri (2021.06.22) - [설명자료] 시사저널 "원자력연구원..

정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바..