잉카인터넷 시큐리티대응센터 블로그

최근, 독일 연방 정보 보안국(BSI)이 자국민에게 러시아 보안 기업 Kaspersky의 보안 제품을 대체 제품으로 교체하도록 권장했다. BSI는 러시아의 IT 업체가 직접 사이버 공격을 수행하거나 정부로부터 공격을 진행하도록 강요받을 수 있다고 언급했다. 또한, 해당 기관은 업체에서 다른 제품으로 전환이 필요할 경우 자신들이 인증한 IT 보안 서비스 제공 업체와 상담할 것을 권장했다. 한편, 카스퍼스키 측은 독일 연방 정보 보안국의 경고에서 언급된 내용들을 부인하고, 자신들의 제품에 신뢰성이 있다는 내용의 성명을 발표했다. 사진 출처 : Kaspersky 출처 [1] Federal Office for Information Security (2022.03.15) - BSI warnt vor dem Ein..

최근, 대만의 네트워크 장비 제조 업체 QNAP이 자사 NAS(Network Attached Storage) 장치에 영향을 미치는 "Dirty Pipe" 취약점에 대해 경고했다. 해당 업체는 "'Dirty Pipe' 라고도 불리는 CVE-2022-0847 취약점이 자사 NAS 장치의 운영체제 QTS 5.0.x 및 QuTS hero h5.0.x의 Linux Kernel 에 영향을 미치는 것으로 보고됐다." 고 알렸다. 또한, 해당 취약점에 대해 조사 중이며 보안 업데이트가 제공되는 즉시 설치할 것을 권고했다. 이 취약점의 최초 보고자에 따르면 "Dirty Pipe"는 Linux Kernel Pipe에서 초기화를 제대로 처리하지 못해 발생하는 권한 상승 취약점으로 읽기 권한을 가진 공격자가 관리자 권한을 얻..

Avast Threat Labs의 연구원들이 과거 유행하던 정보 탈취형 악성코드 Raccoon Stealer가 Telegram을 악용하는 기능을 추가했다고 발표했다. Raccoon Stealer와 관련한 자세한 정보는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다. 2019.11.15 - Raccoon Stealer 악성코드 분석 보고서 연구원들에 따르면 최근 발견된 Raccoon Stealer 악성코드는 Telegram 인프라에 C2 주소를 저장한다. 또한, 연구원들은 해당 악성코드가 C2 명령을 통해 Clipboard Stealer와 WhiteBlackCrypt Ransomware 등의 추가 악성코드 파일을 다운로드해 실행한다고 언급했다. 사진 출처 : Avast Threat La..

최근 이스라엘의 보건·내무·법무부를 포함한 다수의 정부 웹사이트가 대규모 DDoS 공격을 받아 운영에 차질을 빚었다. 외신은 이스라엘 국방부와 국가 사이버 보안국이 비상사태를 선포했으며, 공격이 중요 기반 시설에 피해를 입혔는지 확인하고 있다고 전했다. 한편, 이스라엘 언론 예루살렘 포스트는 이번 공격이 이란과 연계됐을 가능성이 있다고 주장했다. 사진 출처 : National Cyber Directorate 출처 [1] SecurityAffairs (2022.03.15) - A massive DDoS attack hit Israel, government sites went offline https://securityaffairs.co/wordpress/129063/cyber-warfare-2/massiv..

최근 국내 차량 열관리 시스템 대기업이 랜섬웨어의 공격을 받아 피해 업체의 내부 자료가 유출됐다. 피해 업체를 공격한 것으로 알려진 "Snatch" 랜섬웨어 그룹은 탈취한 데이터 10GB를 "Snatch" 데이터 유출사이트에 게시했다고 주장했지만 확인 결과 9.6GB의 파일을 다운로드할 수 있었다. 해커가 공개한 데이터에는 2010년부터 2013년까지 사용하던 기업 내부 자료 및 사진 파일이 존재했으며 [그림 2]와 같이 피해 기업 직원의 개인 정보가 포함된 데이터가 확인됐다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다..

최근, 미국의 GPU 제조 업체 NVIDIA에서 유출된 서명 인증서가 악용되고 있다. 외신에 따르면 해킹 그룹 Lapsus$의 사이버 공격으로 유출된 NVIDIA의 서명 인증서가 Cobalt Strike beacon과 Mimikatz 등의 백도어 및 해킹 도구 서명에 사용됐다고 밝혀졌다. 또한, 공격자가 이러한 서명 인증서를 사용해 악성코드를 NVIDIA 프로그램으로 위장할 수 있으며 Windows에서 악성 드라이버를 로드 할 수 있다고 알렸다. 보안 전문가는 WDAC(Windows Defender Application Control) 정책 설정을 통해 취약한 드라이버 로드를 방지해야 한다고 권고했다. 사진출처 : Virustotal 출처 [1] Bleepingcomputer (2022.03.05) – ..

최근, 호주의 보안 업체 Cyble이 "Escobar" 악성 앱 분석 보고서를 발표했다. 해당 보고서에 따르면 "Escobar"는 미국의 보안 업체 McAfee의 앱으로 위장하고 있으며 Google Play Store 이외의 경로에서 유포된다고 알려졌다. 또한, "Escobar"가 설치될 경우 Google 인증 코드 탈취와 화면 제어 등의 악성 행위를 시도하며 통화 기록과 연락처 등의 개인정보를 수집해 C&C 서버에 업로드 한다고 밝혀졌다. Cyble은 SMS나 이메일을 통해 수신된 링크 접속을 주의하고 Google Play Store와 IOS App Store 같은 공식 스토어를 통해 앱을 다운로드 받을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.03.10) – Abere..

최근 외신은 러시아의 방산업체 Rostec이 DDoS 공격을 받아 웹사이트를 일시 폐쇄했다고 알렸다. 피해 업체는 외신을 통해 당사가 2월 말부터 지속적인 해커의 공격을 받고 있다고 전했으며, 공격의 배후가 우크라이나의 급진 세력이라고 언급했다. 한편, Rostec의 여러 도메인과 리소스는 IT Army of Ukraine에 의해 DDoS 공격 대상으로 지정된 바 있다. 사진 출처 : IT Army of Ukraine 출처 [1] Bleepingcomputer (2022.03.11) - Russian defense firm Rostec shuts down website after DDoS attack https://www.bleepingcomputer.com/news/security/russian-def..

최근, 영국의 보안 업체 Sophos가 "Qakbot" 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "Qakbot"은 다른 피해자의 메일에서 지인과 주고 받은 메일 중간에 악성 메일을 회신하는 방법으로 유포된다고 알려졌다. 회신 메일에는 악성 Excel 파일을 포함하고 있는 "eum.zip" 파일 다운로드 링크가 있으며 해당 Excel 파일을 실행할 경우 악성 매크로를 통해 “Qakbot”을 다운로드한다. 또한, 설치된 "Qakbot"은 시스템 데이터 수집과 공개 IP 검색 등의 악성 행위를 시도하고 ARP스캔을 통해 다른 시스템으로의 이동 방법을 찾는다고 밝혀졌다. 사진출처 : Sophos 출처 [1] Sophos (2022.03.10) – Qakbot injects itself into t..

최근, 보안 업체 Mandiant는 중국의 해킹 그룹 APT41이 지난해 5월부터 최소 6개의 미국 주 정부기관 네트워크에 침투한 사실을 발표했다. Mandiant에 따르면, APT41은 주로 ASP.NET 역직렬화 공격을 이용했으며, 미국 농업 종사자들을 위한 앱 USAHerds의 제로데이 취약점 또한 이용했다고 알렸다. 또한, 해당 보안 업체는 공격자들이 개인 식별 정보(PII)를 유출하는 정황을 관찰했지만, 그것을 최종적인 공격의 목표로 보기는 어렵다고 언급했다. 출처 [1] Mandiant (2022.03.08) - Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments https://www.mandiant.com/..