TACHYON 1232

메신저 앱에서 정보를 탈취하는 VajraSpy

최근, 메신저 앱으로 위장해 감염된 디바이스에서 정보를 수집하는 안드로이드 악성 앱 “VajraSpy”가 발견됐다. 해당 악성 앱은 구글 플레이 또는 악성 링크를 포함한 가짜 광고로 유포됐으며, 다양한 종류의 메신저로 위장하고 있다. 해당 앱을 실행하면 디바이스의 기본 메시지와 통화 앱 뿐만 아니라 WhatsApp과 Signal 등의 다른 메신저에서도 정보를 탈취한다. “VajraSpy”가 위장한 메신저 중 하나인 Wave Chat을 실행하면 전화번호로 사용자를 등록한 후, 메시지 서비스를 제공하는 정상적인 앱처럼 동작한다. 단, 앱이 실행되기 전 먼저 악성 동작에 필요한 접근성 서비스와 알림 서비스 접근 권한을 요청한다. 해당 권한을 획득하면 카메라, 파일 및 위치 등의 권한을 추가로 요청하는데, 이때..

다시 돌아온 Bumblebee 악성코드

작년에 자취를 감춘 “Bumblebee” 악성코드가 VBA 매크로를 사용하는 이메일 캠페인과 함께 돌아왔다. 보안 업체 Proofpoint는 미국 기업이 수신한 이메일 캠페인을 분석해 두 가지 특징을 발표했다. 첫 번째는 이메일의 OneDrive 링크가 연결하는 Word 문서이다. 이 문서는 VBA 매크로를 지원하며, 스크립트를 사용해 “Bumblebee”를 포함한 추가 페이로드를 다운로드한다. 이에 대해 기존에 발견된 캠페인 중 VBA 매크로를 사용한 사례가 전체 230개 중 1개에 불과하다며 그 차이를 언급했다. 두 번째 특징은 메일의 발신자 주소가 TA579로 알려진 조직에서 사용한 것과 동일하다는 것이다. 해당 특징을 최근 사이버 범죄 현황에 비추었을 때, 많은 악성코드와 조직이 활동을 중단했다가..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Expressway 14.3.4, 15.0.0 - ciscocm.cuc.CSCwh14380_C0208-1.cop.sha512 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecur..

취약점 정보 2024.02.13

2024년 01월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2024년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 64%로 가장 높은 비중을 차지했고, “Glupteba”가 31%로 그 뒤를 따랐다. 악성코드 유형별 진단 비율 전월 비교 1월에는 악성코드 유형별로 12월과 비교하였을 때 모든 유형에서 증가하는 추이를 보였다. 주 단위 악성코드 진단 현황 1월 한 달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 셋째 주는 진단 수가 감소했지만 넷째 주에 다시 증가하는 추이를 보였다. 2. 악성코드 동향 2024년 1월(1월 1일 ~ 1월 31일) 한 달간 등장한 악성코드를 조사한..

2024년 01월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 29곳의 정보를 취합한 결과이다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, “8Base” 랜섬웨어와 “Akira” 랜섬웨어가 각각 28건과 26건의 유출 사례를 기록했다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 53%로 가장 높은 비중을 차지했고, 프랑스와 영국이 각 6%로 그 뒤를 따랐다. 2024년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 ..

Qilin 랜섬웨어 리눅스 버전

최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면..

Ivanti 제품 보안 업데이트 권고

개요 Ivanti 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Ivanti Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, 22.5R2.2 - Ivanti Policy Secure 22.5R1.1 - Ivanti Policy Secure for ZTA 22.6R1.3 참고자료 https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-an..

취약점 정보 2024.02.06

Microsoft 01월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5033741, KB5002539, KB5034121, KB5034119, KB5033733, KB5033734, KB5002540, KB5002541, KB5034122, KB5034123, KB5034127, KB5034129, KB5034130, KB5034134, KB5034167, KB5034169, KB5034171, KB5034173, KB5034176, KB5034184 참고자료 https://msrc.microsoft.com/upda..

취약점 정보 2024.01.30

2023년 하반기 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 2023년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 16건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 8월과 11월에 가장 많이 발견됐다. 2023년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2023년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 35%로 가장 많았고, 모네로(XMR)를 요구하거나 ..

우크라이나 업체를 공격하는 Solntsepek 해커 그룹

우크라이나의 통신 서비스 제공 업체인 Kyivstar의 핵심 네트워크 시스템이 모두 삭제된 정황이 발견됐다. 우크라이나의 보안국(SSU)는 지난 23년 5월경에 피해 업체의 네트워크를 침해했다고 언급했다. 해당 사건으로 모바일 및 데이터 서비스가 중단돼, 약 2,500만 명의 모바일 및 가정용 인터넷 가입자 대부분이 인터넷에 접속하지 못했다고 전했다. 한편, 러시아의 Solntsepek 해커 그룹이 자신들이 피해 업체의 컴퓨터 10,000대와 서버 수천 대를 삭제했다고 주장하는 글을 텔레그램에 게시했다. 또한 피해 업체가 우크라이나 군대, 정부 기관 및 법 집행 기관에 통신을 제공하기 때문에 공격했다고 덧붙였다. 보안국은 Solntsepek 해커 그룹이 Sandworm 러시아 군사 해커 그룹의 배후에 있..