TACHYON 1232

2023년 10월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2023년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 76%로 가장 높은 비중을 차지했고, “Agent”가 17%로 그 뒤를 따랐다. 악성코드 유형별 진단 비율 전월 비교 10월에는 악성코드 유형별로 9월과 비교하였을 때 전체적으로 진단 수가 감소했다. 주 단위 악성코드 진단 현황 10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 첫째 주는 진단 수가 감소했지만 둘째 주는 증가했다가 셋째 주부터 다시 감소하는 추이를 보였다. 2. 악성코드 동향 2023년 10월(10월 1일 ~ 10월 31일) 한 달간 등장..

2023년 10월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다. 2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 66건으로 가장 많은 데이터 유출이 있었고, “NoEscape” 랜섬웨어와 “Play” 랜섬웨어가 각각 58건과 40건의 유출 사례를 기록했다. 2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 43%로 가장 높은 비중을 차지했고, 영국이 10%, 캐나다가 6%로 그 뒤를 따랐다. 2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 ..

Node.js를 활용하는 Lu0Bot 악성코드

최근 SFX 압축 파일 형태로 유포되는 “Lu0Bot” 악성코드가 발견됐다. 해당 악성코드는 C&C 서버의 명령을 받아 동작하는 봇 악성코드이며, Node.js 인터프리터와 암호화된 JavaScript를 포함하고 있다. “Lu0Bot”을 실행하면, 스스로 압축을 해제 후 Node.js를 사용해 암호화된 JavaScript를 복호화 및 실행한다. Node.js는 플랫폼에 구애 받지 않고 JavaScript 코드를 실행할 수 있게 해주는 프로그램으로 다양한 기능을 지원하는 라이브러리를 내장하고 있기 때문에 “Lu0Bot”은 별도의 외부 소스 없이 다양한 동작을 수행할 수 있다. 다만, 현재 해당 악성코드는 PE 파일로 유포되고 있어 Windows에서만 실행되지만, Node.js의 활용은 Linux 등의 다른..

Microsoft 10월 정기 보안 업데이트 권고

개요 Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB3061064, KB4470124, KB5029242, KB5029377, KB5029378, KB5029379, KB5029503, KB5029924, KB5030178, KB5030179, KB5030180, KB5030181, KB5030182, KB5030183, KB5030184, KB5030185, KB5030186, KB5030211, KB5030216, KB5030217, KB5030219, KB5030220, KB5030325, KB..

취약점 정보 2023.10.26

KeePass 사이트를 사칭하는 Google Ads 캠페인 발견

공식 도메인으로 사칭한 가짜 KeePass 사이트를 광고로 표시해 악성 코드를 배포하는 Google Ads 캠페인이 발견됐다. 보안업체 Malwarebytes는 사용자가 해당 광고 링크를 클릭하면 Punycode URL을 사용한 가짜 웹사이트에 접속하게 된다고 전했다. Punycode는 특수 문자가 포함된 텍스트를 ASCII 인코딩으로 변환시켜주는 형식으로, 공격자는 이점을 악용해 공식 사이트와 유사해보이는 유니코드로 변경 후 도메인 이름을 등록한다. 해당 캠페인은 keepass.info의 k 문자와 비슷한 ķ 유니코드를 사용해 ķeepass.info로 도메인 이름을 설정했다. 사용자는 해당 링크를 기존 도메인과 동일하다고 인지 후 접속하게 되고 다운로드를 클릭하면 FakeBat 악성코드가 설치된다. 외..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Catalyst SD-WAN Manager 20.12.1 및 이후 버전 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-vman-sc-LRLfu2z#details

취약점 정보 2023.10.20

Teams를 사용해 유포되는 DarkGate 악성코드

마이크로소프트의 Teams 사용자를 대상으로 유포되는 “DarkGate” 악성코드가 발견됐다. 공격자는 Teams 채팅으로 “휴가 일정 변경” 관련 파일을 전송해 사용자의 다운로드를 유도한다. 해당 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, LNK 파일은 C&C 서버에서 추가 페이로드를 다운로드해 최종적으로 “DarkGate” 악성코드를 실행한다. “DarkGate”는 C&C 서버와 연결 후 서버에서 수신한 명령에 따라 악성 동작을 수행한다. Teams 채팅에서 다운로드한 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, [그림 1]과 같이 C&C 서버와 연결하는 VBS 파일을 드롭 후 실행한다. C&C 서버와 연결에 성공하면, 서버로부터 명령어를 수신하고, 해당 ..

2023년 3분기 국가별 해커그룹 동향 보고서

3분기 국가별 해커그룹 동향 보고서 러시아 2023년 3분기 러시아의 해커그룹 CozyBear와 Sandworm 그룹의 공격이 발견되었다. CozyBear 해커그룹은 MS Teams를 통한 사회공학 공격과 NATO 가입국을 대상으로 하는 피싱 공격을 수행하였고, Sandworm 해커그룹은 모바일 악성코드를 유포하는 캠페인을 수행하였다. 또한, 친러 성향의 NoName 해커그룹이 캐나다 공항을 대상으로 DDoS 공격을 수행하였다. CozyBear 러시아 연방 해외 정보국(SVR)을 배후로 둔 CozyBear 해커그룹은 APT29, The Dukes 등의 이름으로도 불린다. 2008년부터 활동한 것으로 전해지며 주로 미국과 유럽의 정부 기관 및 NATO 회원국을 대상으로 공격을 수행하였다. 최근에도 이들을 ..

2023년 3분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례 2023년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 클롭(Clop) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 미국과 영국의 컨설팅 업체가 클롭 랜섬웨어 공격을 받았고, 8월과 9월에는 일본의 제조 업체와 국내 에너지 대기업이 각각 블랙캣과 락빗(LockBit) 랜섬웨어 공격을 받아 피해가 발생했다. 클롭(Clop) 랜섬웨어 피해 사례 지난 8월, 클롭 측이 P2P 파일 공유 플랫폼인 토렌트로 피해 업체의 데이터를 공유하는 정황이 발견됐다. 외신은 이들 조직이 파일 공유가 용이하다는 토렌트의 장점을 활용했고 이로 인해 피해 업체가 데이터 유출로 받는 압박이 커질 우려가 있다고 전했다. 미국 교육 기관..

2023년 09월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 진단 비율 2023년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 진단명 별로 비교하였을 때 “Renamer”가 77%로 가장 높은 비중을 차지했고, “Agent”와 “Glupteba”가 각각 6%와 3%로 그 뒤를 따랐다. 악성코드 유형별 진단 비율 전월 비교 9월에는 악성코드 유형별로 8월과 비교하였을 때 Trojan, Ransom, Backdoor, Suspicious 및 Worm의 진단 수가 증가했다. 주 단위 악성코드 진단 현황 9월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 8월에 비해 셋째 주를 기점으로 증가에서 감소로 바뀌는 추이를 보였다. 2. 악성코드 동향 2023..