잉카인터넷 시큐리티대응센터 블로그

최근 보안 업체 ESET이 우크라이나의 비공개 정부 네트워크를 상대로 파괴형 악성코드 IsaacWiper가 사용됐다고 발표했다. ESET에 따르면, IsaacWiper는 IOCTL의 IOCTL_STORAGE_GET_DEVICE_NUMBER 함수를 사용해 물리 드라이브들을 탐지하고, 각 디스크의 첫 번째 0x10000 바이트를 삭제하는 것으로 알려졌다. 또한, 해당 보안 업체는 IsaacWiper가 우크라이나를 대상으로 한 또다른 악성코드 HermeticWiper에 감염되지 않은 조직을 대상으로 공격을 시도했다고 언급했다. 출처 [1] ESET Research (2022.03.01) - IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine..

2019년에 처음 등장한 "SideCopy" 해킹 그룹은 주로 남아시아 국가, 특히 인도와 아프가니스탄을 대상으로 공격하는 것으로 알려졌다. 해당 악성코드는 주로 MS Publisher 또는 이미지 뷰어로 위장한 아카이브 파일로 유포되며 현재 진행중인 캠페인은 주로 정부나 군 관계자들을 목표로 하여 맞춤화된 문서나 이미지로 유포된다. "SideCopy" 해킹 그룹의 악성코드는 페이로드가 포함된 MS Publisher 문서와 같은 아카이브 파일로 유포된다. 해당 문서 파일은 목표 대상이 흥미를 끌 수 있는 내용의 문서로 작성돼 있으며 실행 시, 페이로드를 로드하는 파일인 "Crebiz.exe"과 감염된 PC의 정보를 탈취한 후 공격자의 서버로 전송시키는 파일인 "TextShaping.dll" 파일을 드랍한..

1. 악성코드 통계 악성코드 Top20 2022년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan이며 총 20,710 건이 탐지되었다. 악성코드 진단 수 전월 비교 1월에는 악성코드 유형별로 12월과 비교하였을 때 Worm, Ransom의 진단 수가 증가하고, Trojan, Exploit 및 Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 1월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 12월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 2022년 1월..

1. 악성코드 통계 악성코드 Top20 2021년12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan이며 총 14,133 건이 탐지되었다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan, Exploit, Backdoor, Adware의 진단 수가 증가하고, Worm 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2021..

1. 악성코드 통계 악성코드 Top20 2021년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 11,491 건이 탐지되었다. 악성코드 진단 수 전월 비교 11월에는 악성코드 유형별로 10월과 비교하였을 때 Exploit의 진단 수가 증가하고, Trojan, Virus, Worm 및 Backdoor 의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 11월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 10월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 202..

최근 코로나 백신 제조업체를 공격하는 Tardigrade 악성코드가 발견됐다. 2021년 4월에 첫번째 공격이 탐지되었으며 그 후 6개월 뒤인 2021년 10월경 두번째 시설의 피해가 나타났다. 피해 업체 두 곳 모두 코로나 백신을 제조하는 업체이며 이번 공격에 대해 분석 중이라고 밝혔다. Tardigrade 악성코드는 실행 시 업체의 중요한 정보를 탈취하고, 공격자의 명령을 통해 제어할 수 있다. 이로 인해 감염된 PC에 랜섬웨어를 다운로드한 후 실행하여 최근 중요해진 코로나 백신 생산을 방해하고, 금전 탈취를 시도한다. 출처 [1] Wired (2021.11.30) - Devious ‘Tardigrade’ Malware Hits Biomanufacturing Facilities https://www...

국가의 지원을 받는 해킹 그룹 APT37은 Windows 및 Android 기기를 감염시킬 수 있는 Chinotto 악성코드를 유포하기 시작했다. 해당 악성코드는 피싱 메일이나 스미싱 공격을 통해 유포되고 있으며 현재 한국의 언론인, 탈북자, 인권 활동가를 표적으로 삼고있다. 악성코드가 실행되면 사용자의 PC에서 정보를 탈취하고, 공격자의 C&C 서버에 연결해 전송한다. 또한, 공격자의 서버에서 명령을 받아 감염된 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.11.30) - ScarCruft surveilling North Korean defectors and human rights activists https://secu..

1. 악성코드 통계 악성코드 Top20 2021년10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜)이며 총 39,999 건이 탐지되었다. 악성코드 진단 수 전월 비교 10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus, Worm 및 Backdoor의 진단 수가 증가하고, Trojan 및 Exploit의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 9월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 2021년..

Google의 위협 분석 그룹(TAG, Threat Analysis Group) 의 보안 연구원이 디지털 서명을 위조해 보안 프로그램을 우회하는 악성코드를 발견했다. TAG가 발견한 악성코드는 인증서에 유효하지 않은 값을 추가해 OpenSSL을 사용하는 보안프로그램이 조작된 인증서를 사용한 PE 파일을 탐지하지 못하도록 위장한다. 현재, TAG는 Google Safe Browsing팀과 협력해 관련 사항에 대해 확산되지 않도록 차단하고 있으며, 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고 설치할 것을 권장했다. 출처 [1] bleepingcomputer (2021.09.24) - Malware devs trick Windows validation with malformed certs https:/..

최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h..