피싱 47

2024년 사이버 보안 전망

2023년 OpenAI의 최신 언어 모델인 GPT-4 출시를 필두로 글로벌 생성 인공지능 시장이 급격하게 성장하고 있다. 이러한 성장은 전문 지식이 없는 일반인도 인공지능을 효과적으로 일상과 업무에서 활용할 수 있게 됐다. 하지만 접근성이 쉬워졌다는 점을 악용해 인공 지능을 공격 의도가 다분한 프로그램을 제작하는데 사용하는 정황도 꾸준히 발견되고 있다. 2024년은 인공지능을 사용한 기술 혁신을 기반으로 국가 및 기업 더 나아가서는 일반인들을 대상으로 사이버 공격이 지속적으로 발생할 것으로 예상된다. 잉카인터넷 시큐리티 대응센터(ISARC)은 2023년 국내/외에서 발생한 보안 이슈와 사례를 종합적으로 분석해 2024년에 대비 해야할 5가지 위협요소를 선정해 발표하며, 이번 보안 전망 자료가 향후 피해 ..

피싱 이메일로 유포되는 Rhysida 랜섬웨어

최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다. “Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다. 해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다. 암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상..

Zimbra 이메일 계정을 노리는 피싱 캠페인

최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 ..

Microsoft 365 계정을 노리는 EvilProxy 피싱 캠페인

최근 서비스형 피싱 플랫폼인 “EvilProxy”를 사용해 Microsoft 365 계정을 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Proofpoint는 신뢰할 수 있는 업체로 위장한 공격자의 피싱 메일에서 캠페인이 시작된다고 전했다. 피싱 메일은 정상적인 웹사이트로 위장한 링크를 포함하고 있으며, 접속할 경우 공격자가 사전에 만든 사이트로 리다이렉션을 한다. 해당 링크로 접속한 사용자가 로그인을 시도하면, 공격자는 “EvilProxy”를 사용해 계정 정보와 MFA 인증 정보 등을 탈취한다. 이후, 탈취한 계정으로 로그인 한 공격자는 MFA 인증 방식을 추가해 지속적인 접근을 가능하게 하며 금융 사기 및 데이터 유출 등의 추가 공격을 수행할 수 있게 된다. 이에 대해 Proofpoint 측은 이메일 ..

새로운 ZIP 도메인 출시와 보안 위협에 대한 논의

최근, Google Registry에서 웹사이트 또는 이메일 주소 호스팅에 사용할 수 있는 8개의 최상위 도메인을 도입했다. 추가된 도메인에는 .dad, .phd, .prof, .esq, .foo, .zip, .mov 및 .nexus 등이 있고 현재 모두 사용할 수 있다. 이 중 .zip, .mov 등의 도메인은 파일의 확장자로도 사용되므로 파일명과 URL이 혼재되어 발생할 위험에 대한 우려가 제기되고 있다. 보안 업체 Silent Push Labs는 microsoft-office[.]zip과 같이 Microsoft로 위장한 피싱 사이트 제작에 .zip 도메인이 악용되는 사례를 발견했으며, 보안 연구원 Rauch는 Github에서 파일 다운로드 링크로 위장해 .zip 도메인을 갖는 피싱 사이트로 접속을 ..

Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 Greatness

최근, Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 "Greatness"를 사용한 공격이 급증하고 있다. Cisco Talos의 조사에 따르면, 해당 도구를 사용하는 공격자는 HTML 파일을 첨부한 피싱 메일을 발송해 공격을 시도한다. 사용자가 첨부 파일을 실행하면 Microsoft 365 로그인 페이지로 위장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 또한, 로그인 과정에서 MFA 인증이 사용될 경우, 음성 통화 또는 SMS 코드 등 실제 Microsoft 365 페이지에서 요청한 MFA 방법을 사용해 사용자에게 인증을 요구한다. 해당 페이지를 통해 사용자가 로그인을 시도하면, 입력한 계정 정보를 탈취해 텔레그램 봇을 통해 공격자에게 전송한다. 사진출처 : C..

인도 철도 공사 IRCTC를 사칭한 피싱 공격

최근, 인도 철도 공사 IRCTC를 사칭해 피해자의 금융 정보를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 트위터 사용자를 대상으로 IRCTC 고객 지원 담당자로 가장해 접근하는 것으로 알려졌다. 공격자는 트위터에서 인도 철도에 대한 불만 사항을 게시한 사용자에게 연락해 보상을 빌미로 열차 예약 번호, 환불 금액 및 결제 수단 등의 정보를 요구한다. 또한, SMS 및 금융 정보를 탈취하기 위해 추가적인 피싱 사이트와 악성 Android 앱을 사용한 것으로 밝혀졌다. Cyble은 사용자에게 이러한 사기 수법을 인지하고, 타인에게 개인 정보를 제공하거나 앱을 설치할 경우 주의할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.27) - New W..

Facebook 게시물을 이용한 피싱 공격 발견

최근, Facebook 게시물을 악용한 피싱 공격이 발견됐다. 보안 업체 Trustwave는 공격자가 저작권 침해 안내를 가장한 피싱 메일의 본문에 공식 Facebook 문의 게시물로 위장한 악성 게시물 주소를 넣어 접속을 유도한다고 알렸다. 이 악성 게시물에는 저작권 침해 안내 페이지로 위장한 피싱 사이트의 주소가 존재한다. 해당 피싱 사이트에 접속할 경우, 사용자로부터 이메일 주소와 전화번호 및 이름 입력을 요구하는 창을 띄워 입력한 모든 정보를 공격자의 Telegram 계정으로 전송한다. 사진출처 : Trustwave 출처 [1] Trustwave (2022.12.15) - Meta-Phish: Facebook Infrastructure Used in Phishing Attack Chain http..

암호화폐 플랫폼의 고객센터를 사칭하는 피싱 공격

최근, 암호화폐 플랫폼의 고객센터를 사칭해 다단계 인증을 우회하고 암호화폐를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 PIXM에 따르면, 공격자가 암호화폐 플랫폼을 사칭한 피싱 사이트에서 사용자의 로그인 오류를 발생시킨 후, 고객 지원을 가장한 채팅을 통해 사용자로부터 계정 정보 입력을 유도하는 것으로 알려졌다. 해당 계정 정보를 통한 로그인에 실패할 경우, 공격자는 사용자에게 원격 제어 앱 'TeamViewer'의 설치를 요구하며 해당 앱으로 인증 정보를 탈취해 계정 로그인을 시도한다. 로그인에 성공할 경우, 실시간 채팅으로 사용자의 주의를 끌며 사용자 지갑의 암호화폐를 모두 탈취한다. 사진출처 : PIXM 출처 [1] PIXM (2022.11.21) - Cybercrime Group Expands..

인도네시아 BRI 은행의 고객을 대상으로 하는 피싱 캠페인

최근, 인도네시아 은행인 BRI(Bank Rakyat Indonesia) 고객을 대상으로 하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 BRI 은행으로 위장한 피싱 사이트와 악성 앱을 통해 피해자의 은행 계정 및 OTP를 탈취하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속해 로그인할 경우 입력한 계정 정보를 탈취하고, 추가적으로 OTP 정보를 탈취하기 위한 “SMSeye” 안드로이드 악성코드의 다운로드를 유도한다. 해당 악성 앱은 설치 후 SMS 접근 권한을 요구하고 사용자의 의심을 피하기 위해 실제 BRI 은행 사이트를 띄운다. 이후, 권한을 획득한 악성 앱은 사용자의 SMS 메시지로부터 OTP 정보를 탈취해 공격자의 텔레그램 봇으로 전송한다. Cyble은 Play 스토어 ..