잉카인터넷 시큐리티대응센터 블로그

최근, NCSC-FI(핀란드 국가 사이버 보안 센터)에서 "FluBot" 악성 앱 캠페인을 발표했다. 해당 기관에 따르면 "FluBot"이 음성 메일과 소포 배달에 관련된 내용의 SMS를 통해 유포되었으며, 이 악성 앱에 감염될 경우 사용자의 데이터를 탈취하고 확산을 위해 다른 디바이스로 악성 SMS를 전송한다. NCSC-FI는 해당 악성 앱을 설치했을 경우 공장 초기화를 통해 디바이스를 복구할 것을 권고했다. 사진출처 : NCSC-FI 출처 [1] NCSC-FI (2022.05.10) – ​FluBot-haittaohjelmaa levitetään jälleen tekstiviestitse https://www.kyberturvallisuuskeskus.fi/fi/varoitus_1/2022

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내..

1. 악성코드 통계 악성코드 Top10 2022년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 3,981 건이 탐지되었다. 악성코드 진단 수 전월 비교 4월에는 악성코드 유형별로 3월과 비교하였을 때 Suspicious, Trojan, Worm의 진단 수가 증가하고, Virus 및 Ransom의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 4..

최근, 사이버 보안 업체 Symantec이 Shuckworm(Gamaredon, Armageddon)이라고 불리는 러시아 국영 해커 그룹의 공격에 대한 보고서를 발표했다. 해당 업체는 최근 Shuckworm 해커 그룹이 우크라이나를 공격하기 위해 Pteredo 백도어의 다양한 변종을 사용하고 있다고 알렸다. 발견된 Pteredo 백도어 변종은 모두 유사한 기능을 가진 VBS 드로퍼로, 예약된 작업을 사용해 지속성을 유지하고 C2 서버에서 추가 코드를 다운로드한다. 또한, Symantec은 해당 악성코드가 감염된 컴퓨터에서의 지속성을 유지하기 위해 각각 다른 C2 서버와 통신한다고 언급했다. 출처 [1] Symantec Enterprise Blogs (2022.04.20) - Shuckworm: Espio..

1. 악성코드 통계 악성코드 Top10 2022년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 2,329 건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Suspicious, Trojan, Worm 및 Ransom의 진단 수가 증가했다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 3월(3월 1일 ~ 3월 31일) 한 ..

최근 러시아어를 사용하는 다크웹 해킹 포럼에서 “BlackGuard” 스틸러(Stealer) 악성코드의 판매 정황이 발견됐다. “BlackGuard”는 사용자 PC에서 브라우저 및 암호화폐 지갑 등의 정보를 탈취하기 위해 제작된 악성코드이다. 현재, “BlackGuard” 악성코드는 해킹 포럼에서 200 ~ 700 달러의 가격에 판매되고 있다. 게시글에 따르면, 다수의 브라우저 및 암호화폐 지갑 등에서 정보를 수집해 공격자에게 전송하며, 분석을 방지하기 위해 안티 디버깅 기법 및 난독화 등이 적용됐다고 알려졌다. 탐지 및 분석 방지 “BlackGuard” 악성코드를 실행하면 먼저, [표 1]의 목록과 같이 백신 프로그램 및 가상환경 관련 프로세스를 확인한 후 종료한다. 그 후, BlockInput API..

2021년 7월경 처음 등장한 “Jester” 정보 탈취 악성코드는 지속적인 업데이트와 함께 해킹 포럼에서 판매되고 있다. 해킹 포럼에 게시된 글에 따르면 해당 악성코드는 공격자의 Tor 서버나 익명 파일 공유 서버에 탈취된 데이터가 전송되어 효율적인 관리가 가능하며 메모리에 탈취 데이터를 저장하여 은밀하고 신속하게 악성 동작을 수행할 수 있다. 해당 악성코드는 현재 러시아 해킹 포럼에서 99달러 ~ 999달러에 판매되고 있으며 텔레그렘을 통해 암호화폐로 거래가 이루어진다. 최신 버전의 “Jester” 악성코드는 2022년 1월경 업데이트 됐으며 기존 버전의 악성코드보다 빨라진 데이터 전송 속도를 가졌다고 설명한다. “Jester” 정보 탈취 악성코드를 피해자가 실행하면 로그인 자격 증명, 쿠키, 신용 ..

최근, 영국의 보안 업체 Cado Security가 AWS Lambda 서비스에서 실행되는 "Denonia" 악성코드를 발견했다고 발표했다. 해당 업체는 "Denonia"가 서버를 직접 관리하지 않고 코드를 실행할 수 있는 서비스인 AWS Lambda 환경에서 실행되도록 설계된 최초의 악성코드라고 알렸다. 외신에 따르면 이 악성코드를 실행할 경우 XMRig라는 소프트웨어를 통해 Monero 암호화폐 채굴을 시도한다고 알렸다. Cado Security는 아직 해당 악성코드의 유포 방법을 확인하지 못했지만 손상된 AWS 액세스 및 비밀키를 사용했을 것으로 추정한다고 언급했다. 출처 [1] Tech Republic(2022.04.08) – ​AWS Lambda sees its first malware atta..

최근, 미국의 보안 업체 Zscaler가 해커 포럼에서 판매되고 있는 "BlackGuard" 악성코드 분석 보고서를 발표했다. 해당 업체는 "BlackGuard" 악성코드가 다양한 브라우저나 암호화폐 지갑 등에서 민감한 정보를 훔치는 정보 탈취형 악성코드라고 알렸다. 또한, 해당 악성코드는 훔친 정보를 .zip 파일에 압축하고, 하드웨어 ID 및 국가 등의 시스템 정보와 함께 C2 서버로 전송한다고 언급했다. Zscaler는 이러한 피해를 예방하기 위해 의심스러운 사이트 방문을 피하고, 확인되지 않은 파일을 다운로드하지 않을 것을 권고했다. 출처 [1] Zscaler (2022.03.30) - Analysis of BlackGuard - a new info stealer malware being sold..

최근, 미국의 네트워크 장비 제조 업체 Cisco가 인도 정부와 군대를 대상으로 하는 APT 캠페인을 발표했다. 해당 업체에 따르면 공격자가 다단계 인증 프로그램으로 위장한 "Crimson RAT" 악성코드를 인도 정부기관을 사칭한 사이트를 통해 유포했다고 알려졌다. 또한, 이 프로그램을 실행할 경우 해당 악성코드를 설치해 화면 스크린샷과 시스템 정보 등의 데이터를 공격자 C&C서버에 전송한다고 알렸다. Cisco는 이번 캠페인의 배후로 파키스탄의 Transparent Tribe APT 그룹을 예상하고 있다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco talosintelligence (2022.03.29) – Transparent Tribe campaign uses n..