잉카인터넷 시큐리티대응센터 블로그

1분기 국가별 해커그룹 동향 보고서 러시아 2023년 1분기에 러시아를 배후로 둔 Sandworm 그룹과 Gamaredon 그룹의 공격이 발견되었다. 두 해커 그룹은 작년에도 활발하게 활동한 그룹으로, 최근 공격에서는 새로운 악성코드를 사용한 것으로 전해진다. Sandworm 해커 그룹은 SwiftSlicer 라는 이름의 와이퍼를 이용하였으며, Gamaredon 해커 그룹은 GammaLoad 와 GammaSteel 악성코드를 사용하였다. Sandworm Sandworm 해커 그룹은 러시아 연방군 총참모부 정보총국 (GRU) 을 배후로 두고 있으며, 2013년 부터 우크라이나를 대상으로 APT 공격을 수행하였다. 이번 1분기 1월에도 우크라이나의 조직을 대상으로 한 APT 공격이 발견되었다. ESET에 따..

1. 랜섬웨어 피해 사례 2023년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “로얄(Royal)”, “바이스 소사이어티(Vice Society)” 및 “클롭(Clop)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 1월에는 호주의 퀸즐랜드 공과대학이 “로얄” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 로스엔젤레스 교육부 LAUSD와 미국 보안 업체 Rubrik이 각각 “바이스 소사이어티”와 “클롭” 랜섬웨어 공격을 받아 피해가 발생했다. 로얄(Royal) 랜섬웨어 피해 사례 작년 9월에 처음 등장한 로얄(Royal) 랜섬웨어는 주로 미국의 의료 및 중요 인프라를 대상으로 꾸준히 공격해 오고 있다. 또한, 지난 11월에는 처음으로 락빗(LockBit) 랜섬웨어..

새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다. 이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다. 이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer https://bl..

최근, 파일 변환 도구로 위장한 "ImBetter Stealer" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 온라인 파일 변환 사이트로 위장한 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드는 감염 시스템의 언어 코드 식별자(LCID)를 확인해 러시아어 사용자가 아닐 경우, 공격자의 C&C 서버와 연결을 시도한다. 이후, 피해자 PC의 스크린샷과 브라우저 로그인 데이터 및 암호화폐 지갑 정보 등의 데이터를 탈취한다. 사진출처 : Cyble

최근, 신용카드 정보를 탈취하는 "R3NIN Sniffer" 악성코드가 발견됐다. 보안업체 Cyble에 따르면, 이 악성코드는 JavaScript로 작성됐으며, 러시아의 사이버 범죄 포럼에서 판매되고 있다고 알려졌다. 해당 악성코드에 감염된 웹 서버에서 결제를 진행할 경우, 결제 정보 입력을 요청하는 가짜 창을 띄워 사용자로부터 정보 입력을 유도한다. 이후, 피해자가 입력한 카드 번호와 핸드폰 번호 및 이메일 등의 테이터를 탈취한다고 밝혀졌다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.28) - R3NIN Sniffer Toolkit – An Evolving Threat to E-commerce Consumers https://blog.cyble.com/2023/02/28/r3nin..

최근, 텔레그램과 사이버 범죄 포럼에서 “Stealc”라는 새로운 인포스틸러 악성코드가 판매되는 정황이 발견됐다. 공격자는 유튜브에 크랙 소프트웨어로 위장한 “Stealc” 악성코드의 설치 방법을 설명하는 영상과 다운로드 링크를 업로드해 설치를 유도한다고 알려졌다. 해당 악성코드는, sqlite3.dll 등의 정상 DLL 파일을 다운로드해 사용자 데이터를 수집하는 등의 악성 행위에 사용한다. 최종적으로, 텔레그램 등의 메신저와 웹 브라우저 및 암호화폐 지갑에서 사용자 데이터를 탈취한 뒤, 탐지를 피하기 위해 다운로드한 DLL 파일과 악성코드 원본을 자가 삭제한다. 출처 [1] Sekoia (2023.02.20) - Stealc: a copycat of Vidar and Raccoon infostealer..

최근, 가짜 블루 스크린 창을 띄워 사용자를 속이는 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 비디오 플레이어 아이콘으로 위장하고 있으며, 성인 사이트로 위장한 악성 페이지에서 유포된다고 알렸다. 해당 악성코드를 실행할 경우, 가짜 블루 스크린 창과 기술 지원 센터로 위장한 전화번호를 띄워 사용자로부터 공격자에게 연락하도록 유도한다고 알려졌다. Cyble은 의심스러운 사이트 접속을 피하고 알 수 없는 사이트에서 파일을 다운로드하지 않을 것을 권고했다. 사진출처 : cyble 출처 [1] Cyble (2023.02.28) - Blue Screen of Death Scams Target Users Visiting Fake Adult Sites https://blog.cyble.com/2023..

최근, 사이버 범죄 포럼에서 판매되고 있는 "Nexus" 악성 앱이 발견됐다. 보안 업체 Cyble은 이 악성 앱이 유튜브 광고 차단 앱인 YouTube Vanced로 위장해 피싱 사이트에서 유포된다고 알렸다. 설치된 "Nexus" 악성 앱은 피해자의 시스템에 설치된 뱅킹 앱을 확인하고 해당 뱅킹 앱의 피싱 페이지를 WebView로 띄워 공격자가 입력한 계정 정보를 탈취한다. Cyble은 구글 Play Store 또는 iOS App Store와 같은 공식 앱 스토어에서만 앱을 다운로드할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.09) - Nexus: The Latest Android Banking Trojan with SOVA Connections https://bl..

최근, 암호화폐 채굴 프로그램으로 위장한 "Creal" 인포스틸러 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 Python으로 제작됐으며, 비트코인 채굴 암호화폐으로 위장해 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 피해자 시스템에 악성 행위를 위한 Python 모듈이 설치되어 있는지 확인하고 설치되지 않은 모듈을 설치한다. 이후, 시작 프로그램 경로에 자가 복제본을 생성하고 암호화폐 지갑과 웹 브라우저 등의 정보를 수집한 뒤 디스코드를 통해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.29) - Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites..

1. 악성코드 통계 악성코드 Top10 2023년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 232건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Worm 및 Backdoor의 진단 수가 증가했고, Virus와 Suspicious의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 2월에 비해 진단 수가 증가했지만, 셋째 주에는 감소했..