잉카인터넷 시큐리티대응센터 블로그

최근 NFC 데이터를 훔쳐 비접촉식 결제 카드를 복제하는 새로운 안드로이드 맬웨어 NGate가 발견됐다. 보안 업체 ESET의 보고서에 따르면, 체코의 금융 기관 세군데를 타깃으로 NGate를 사용하는 캠페인을 발견했다고 밝혔다. 공격자는 사용자에게 Google Play 스토어에서 제공되는 합법적인 은행 웹사이트나 공식 모바일 뱅킹 앱을 가장한 후 악성 도메인으로 연결해 NGate를 설치하도록 유도한다. 이때 설치된 NGate는 사용자에게 스마트폰의 NFC 기능을 켜라고 요청하여 악성 앱이 카드를 인식할 때까지 스마트폰 뒷면에 지불 카드를 놓으라는 지시를 요청한다. 또한, 은행 ID, 생년월일 및 은행 카드의 PIN 코드를 포함한 민감한 금융 정보를 입력하도록 요청해 공격자의 안드로이드 기기로 전송시킨다..

Google Chrome에서 올해 10번째 제로데이 취약점 패치 소식을 알렸다. 이번 제로데이 취약점은 Chrome 브라우저에서 V8의 부적절한 구현을 제대로 처리하지 못해 발생하는 것으로 알려졌다. 해당 취약점은 CVE-2024-7965로 번호가 매겨졌으며, 윈도우와 리눅스 및 맥OS 환경의 Chrome 브라우저에 영향을 미친다고 전해졌다. 이에 대해 Google 측에서 리눅스 환경은 128.0.6613.84 버전으로, 윈도우와 맥OS 환경은 128.0.6613.84/.85 버전으로 업데이트할 것을 권고했다. 또한, 실제로 공격에 악용된 정황이 발견됐다고 덧붙였다. 출처[1] Google (2024.08.21) – Stable Channel Update for Desktophttps://chromere..

“Qilin” 랜섬웨어 조직이 Chrome 브라우저에 저장된 자격 증명을 탈취한 정황이 발견됐다. 보안 업체 Sophos 측은 “Qilin” 조직이 다중 인증(MFA)을 사용하지 않는 VPN 포털을 통해 내부로 침투한다고 설명했다. 이후, 18일간의 휴면 상태를 거쳐 도메인 컨트롤러로 이동하며, 기본 도메인 정책을 편집해 로그온 기반의 그룹 정책 개체(GPO)를 추가한다고 전했다. 해당 개체는 Chrome 브라우저에 저장된 자격 증명을 탈취할 PowerShell 스크립트와 이를 실행할 배치 스크립트를 포함한다고 덧붙였다. 한편, 공격자는 수집한 정보를 탈취한 후에도 도메인 컨트롤러와 이벤트 로그에서 흔적을 지운 후에 시스템 암호화와 랜섬노트 생성 등의 공격을 이어간 것으로 알려졌다. 이에 대해 Sopho..

개요Google 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술  해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Google Chrome Windows/macOS용 128.0.6613.84/.85- Google Chrome Linux용 128.0.6613.84 참고자료https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html

개요Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco AsyncOS for Secure Web Appliance 14.5.3-033, 15.0 MR, 15.2.0-164 참고자료https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-vXvqwzsj

보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다. Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 ..

개요Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다.   기술  해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - KB5039211, KB5039212, KB5039213, KB5039214, KB5039217, KB5039225, KB5039227, KB5039236, KB5039260, KB5039294, KB5039330, KB5041160, KB5041571, KB5041573, KB5041578, KB5041580, KB5041585, KB5041592, KB5041773, KB5041782, KB5041823, KB5041828, KB5041838, K..

개요Ivanti 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Ivanti Virtual Traffic Manager 22.2R1, 22.7R2 참고자료https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593?language=en_US

러시아 사이버 보안 회사인 Kaspersky에 따르면 최근 러시아 정부와 IT 기관을 표적으로 하는 EastWind라는 코드명의 스피어 피싱 캠페인을 발견했다고 보고했다. 공격은 Windows 바로가기(LNK) 파일을 포함하는 RAR 압축 첨부 파일을 사용하며, 사용자가 해당 파일을 열면 악성 백도어가 배포된다. 이때 배포되는 백도어에는 GrewApacha와 CloudSorcerer 백도어의 업데이트 버전, 그리고 이전에 문서화되지 않은 PlugY라는 맬웨어가 포함된다. 그 중 GrewApacha는 공격자가 제어하는 GitHub 프로필을 통해 C&C 서버와 통신한다는 특징이 있다. 또한, CloudSorcerer는 클라우드 인프라를 통해 사용자 장치 모니터링, 데이터 수집 및 유출에 사용되며, PlugY..

최근에 웹 브라우저의 악성 확장 프로그램을 유포해 사용자의 시스템을 공격한 캠페인이 발견됐다. 보안 업체 ReasonLabs 측은 Google 검색 결과에 나오는 악성 광고에서 캠페인이 시작된다고 전했다. 공격자는 사용자가 해당 광고로 접속하면 가짜 다운로드 사이트로 연결해 잘 알려진 소프트웨어의 설치 프로그램을 다운로드하도록 유도한다. 사용자가 설치 프로그램을 실행하면 원하던 소프트웨어가 아닌 PowerShell 스크립트가 실행되면서 공격자의 원격 서버에서 악성 페이로드가 다운로드 된다. 이후, 주기적으로 스크립트를 실행해 추가 페이로드를 설치하도록 스케줄을 설정하고 레지스트리 값을 수정해 웹 브라우저 확장 프로그램을 설치한다. 이때 설치된 확장 프로그램은 사용자의 검색 쿼리를 하이재킹해 악성 광고 페..