잉카인터넷 1462

Google Chrome 보안 업데이트 권고

개요 Google 사는 Chrome에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Chrome v107.0.5304.121/.122 (Windows), v107.0.5304.121 (Mac, Linux), v107.0.5304.141 (Android) 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=67045 https://chromereleases.googleblog.com/2022/11/stable-channel-update-f..

취약점 정보 2022.11.28

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 높음(High) 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco ISE v2.6p12, v2.7p8, v3.0p7, v3.1p4 및 이후 버전 참고자료 https://tools.cisco.com/security/center/publicationListing.x https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-csrf-vgNtTpAs

취약점 정보 2022.11.25

PyPI 저장소에서 유포되는 악성 Python 패키지

최근, Python 패키지 저장소인 PyPI에서 이미지 파일에 코드를 숨기는 스테가노그래피를 악용한 악성 패키지가 발견됐다. 보안 업체 Check Point에 따르면, 공격자가 PyPI에서 "apicolor"라는 정상 패키지로 위장한 악성 패키지를 유포한다고 알려 졌다. 해당 패키지를 설치할 경우, 설치 패키지에 포함된 이미지 파일의 숨겨진 코드를 통해 악성코드를 다운로드 후 실행 한다. 현재, Check Point는 이 사실을 PyPI에 알렸으며, PyPI는 즉시 해당 악성 패키지를 제거했다고 밝혀졌다. 사진출처 : Check Point 출처 [1] Check Point (2022.11.09) – Check Point CloudGuard Spectral exposes new obfuscation tec..

인도네시아 BRI 은행의 고객을 대상으로 하는 피싱 캠페인

최근, 인도네시아 은행인 BRI(Bank Rakyat Indonesia) 고객을 대상으로 하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 BRI 은행으로 위장한 피싱 사이트와 악성 앱을 통해 피해자의 은행 계정 및 OTP를 탈취하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속해 로그인할 경우 입력한 계정 정보를 탈취하고, 추가적으로 OTP 정보를 탈취하기 위한 “SMSeye” 안드로이드 악성코드의 다운로드를 유도한다. 해당 악성 앱은 설치 후 SMS 접근 권한을 요구하고 사용자의 의심을 피하기 위해 실제 BRI 은행 사이트를 띄운다. 이후, 권한을 획득한 악성 앱은 사용자의 SMS 메시지로부터 OTP 정보를 탈취해 공격자의 텔레그램 봇으로 전송한다. Cyble은 Play 스토어 ..

PNG 파일을 통해 유포되는 DropBoxControl 인포스틸러

최근, PNG 파일을 통해 유포되는 "DropBoxControl" 인포스틸러가 발견됐다. 보안 업체 Avast에 따르면, 해커 그룹 Worok이 PNG 파일에 LSB 인코딩을 사용해 "DropBoxControl" 악성코드를 삽입하고 유포한 것으로 알려졌다. 악성 PNG 파일이 실행될 경우, 공격에 필요한 파일들을 드롭한 후 “PNGLoader”를 통해 이미지 파일에 삽입된 데이터를 추출하고 실행 파일 형태로 변환한다. 생성된 실행 파일은 “DropBoxControl” 악성코드로, DropBox에서 제공하는 파일 호스팅 서비스를 악용해 파일 유출 등의 악성 행위를 한다. 사진출처 : Avast 출처 [1] Avast (2022.11.10) - PNG Steganography Hides Backdoor ht..

다시 등장한 TyphonReborn 악성코드

지난 7월에 해킹 포럼을 통해 판매된 Typhon Stealer가 업그레이드된 모습으로 등장하였다. 최근 발견된 악성코드는 TyphonReborn 이라는 이름으로 판매되며, 텔레그램을 통해 구매가 가능하다. 해당 악성코드는 백신 프로그램 및 가상 환경과 디버깅 환경을 탐지하고, 사용자 PC의 각종 정보와 암호화페 지갑 정보를 탈취하는 등의 동작을 수행한다. 해당 악성코드는 다음의 텔레그램 채널에서 판매되고 있다. 악성 동작이 수행되기 전에 실행 환경이 가상 환경인지, 백신 프로그램이 실행 중인지, 디버깅 프로그램이 실행 중인지를 확인한다. 만약 그렇다면, 프로세스를 종료하고 실행파일을 삭제한다. 그리고 사용자 이름과 국가 정보를 획득하여 특정 대상을 제외한다. 이때 제외되는 국가의 정보는 다음과 같다. ..

Samba 제품 보안 업데이트 권고

개요 Samba 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Samba v4.15.12, v4.16.7, v4.17.3 및 이후 버전 참고자료 https://www.samba.org/samba/history/security.html https://www.samba.org/samba/security/CVE-2022-42898.html

취약점 정보 2022.11.21

소프트웨어 크랙 및 치트 파일로 유포되는 Temp Stealer 악 성코드

최근 소프트웨어 크랙이나 치트 파일로 위장되어 “TempStealer” 정보 탈취 악성코드가 배포되고 있다. “TempStealer” 악성코드는 64비트 운영체제를 대상으로 제작되었으며 전 세계를 타겟으로 정보와 데이터를 탈취한다. 해당 악성코드는 현재 다크웹에서 15~49 달러에 판매되고 있으며 사용자의 PC에서 암호화폐 지갑, 시스템 정보, 브라우저 데이터, 소프트웨어 토큰 등을 탈취하여 공격자의 C&C 서버로 전송한다. Analysis “TempStealer”는 공격자의 C&C 서버와 연결을 시도한다. 공격자 서버에 연결이 완료되면 본격적인 정보 탈취 동작을 수행한다. 악성 파일 내부에는 타겟이 되는 암호화폐 지갑에 대한 난독화 데이터가 하드코딩되어 있다. 디코딩 이후에 확인된 타겟 암호화폐 지갑의..

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 재단은 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Firefox v107 및 이후 버전 - Firefox ESR v102.5 및 이후 버전 - Thunderbird v102.5 및 이후 버전 참고자료 https://www.mozilla.org/en-US/security/advisories/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/ https://www.mozilla.org/en-US/security/advisories/mfsa2..

취약점 정보 2022.11.17

Outlook과 Thunderbird 계정을 탈취하는 Strela Stealer 악성코드

최근, Outlook과 Thunderbird 계정을 탈취하는 "Strela Stealer" 악성코드가 발견됐다. 보안 업체 DCSO CyTec은 이 악성코드가 HTML 확장자를 가진 DLL 파일로 내부에 HTML 코드를 포함하고 있으며, 웹 브 라우저와 rundll32.exe를 통해 각각의 코드를 실행한다고 알렸다. 해당 악성코드는 주로 다양한 콘텐츠가 포함된 ISO 파일 을 통해 유포되며, ISO 파일 내부의 악성 LNK 파일을 통해 실행된다고 알려졌다. 악성 LNK 파일을 실행할 경우, 웹 브라우저를 통해 HTML 코드를 실행시켜 의심을 피하기 위한 웹 문서를 띄운다. 이후, "rundll32.exe"로 "StrelaStealer"를 실행해 Outlook과 Thunderbird에서 로그인 데이터를 수..