잉카인터넷 시큐리티대응센터 블로그

최근 중국의 사이버 범죄 단체 Hafnium에 의해 Microsoft Exchange Server 취약점을 악용한 공격이 발견되어 이슈가 되었다. 이에 마이크로 소프트 측에서는 해당 취약점 네 가지에 대해 긴급 패치를 진행하였으며 이번 공격에 악용된 취약점은 MS Exchange Online과는 상관 없다고 밝혔다. 공격의 시작이 되었던 Hafnium 그룹은 주로 미국 여러 산업 부문의 기업을 대상으로 공격한다. 과거에도 Hafnium은 네트워크 서버의 취약점을 악용하여 많은 서버를 감염시켰고, 합법적인 오픈 소스 프레임 워크를 사용하여 탐지를 우회했다. 이 후 감염을 마친 PC에서 정보를 탈취하고, 악성코드를 사용자의 PC에 다운로드하여 사용자를 협박 한 이력이 있다. 마이크로 소프트는 공식적으로 이번..

최근 외신에 따르면 APT 36으로 알려진 파키스탄의 해커 그룹이 유포한 “ObliqueRAT” 악성코드의 새로운 버전이 발견되었다. 이번에 발견된 악성코드의 버전은 6.3.5 로, 기존에 발견된 5.2 버전과 다른 악성코드 감염 방식을 사용하고 있으며, 지속적인 업데이트를 통해 기능의 변화가 확인되고 있다. 버전별 차이점 “ObliqueRAT” 악성코드는 2019년 11월 5.2 버전이 발견되었으며, 이후 업데이트를 통해 6.3.5 버전이 발견되었다. 6.3.5 버전에서는 뮤텍스, 유포 방식, 안티 기법 및 명령 코드 추가 등 기존의 기능이 변화되었으며, 파일 탈취 및 파일 목록 검색 등의 기능이 추가되었다. 유포 방식 악성문서에서 “ObliqueRAT” 악성코드를 드랍하여 실행하는 방식에서, 파일을 ..

Introduction 최근 외신에 따르면 “ApoMACROSploit”이라는 Office악성코드 빌더를 발견하였으며, 이를 이용하여 생성된 악성 XLS문서 파일 확인되었다. 생성된 악성 XLS 문서 파일은 피싱 메일로 사용자들에게 유포되었다. What is ApoMACROSploit? “APOMacroSploit”은 Office 매크로 악성코드 빌더로 Office 문서에 삽입 가능한 악성 매크로를 생성한다. 과거부터 “APOMacroSploit” 악성코드 제작자들은 커뮤니티에 광고를 하며 판매하고 있었다. 해당 빌더를 이용하여 만든 악성 매크로 문서 파일이 백신 프로그램(AV)과 Windows Defender를 우회 할 수 있다고 홍보한다. 이들은 페이로드를 실행 하기 전, 대상 컴퓨터에 Windows..

IcedID 악성코드 최근, IcedID가 TA551 해커 그룹에 의해 다시 모습을 드러내고 있다. 2017년에 최초로 등장한 IcedID 악성코드는 BokBot이라는 이름으로도 불린다. Microsoft Office 문서 첨부 파일과 함께 피싱 메일로 유포되며, 사용자 PC에 설치되면 원격지와 통신하여 사용자의 은행 정보를 비롯한 각종 정보를 탈취한다. 감염 방식 IcedID는 감염된 PC에 대해 원격지와 연결되어 있는 경우, 악성 코드의 기능을 업데이트하거나 또 다른 악성 동작을 수행할 수 있다. 2차 피해를 유발할 수 있는 IcedID 악성코드는 안티바이러스 탐지를 우회하기 위해 다양한 감염 방식을 사용한다. 이메일의 악성 문서 첨부 파일을 통한 유포 방식은 동일하지만 최종 페이로드를 인젝션하기 전..

DoppelPaymer 랜섬웨어 INDRIK SPIDER 및 TA505로도 알려진 러시아 모스크바의 Evil Corp 사이버 범죄 그룹은 Dridex와 함께 BitPaymer 랜섬웨어를 유포하기 시작했다. 그 후 BitPaymer와 유사하지만 특정 프로세스를 종료 시켜 많은 파일을 암호화할 수 있고, 네트워크 명령을 통해 로컬 네트워크 및 다른 호스트의 IP 주소를 검색하는 기능을 추가한 DoppelPaymer가 2019년 6월 공개되었다. 하지만 DoppelPaymer의 출처가 Evil Corp 그룹과 연관이 있다는 추정이 있을 뿐 정확한 증거는 존재하지 않았다. 피해 사례 2020년부터 “DoppelPaymer” 랜섬웨어는 주로 자금이 충분한 기업 및 정부를 대상으로 유포되었으며, 많은 금액의 랜섬머..

현재 인터넷 사이트를 통해 국내 유출 신용카드 정보 100만 건이 공유되고 있다. 확인된 웹사이트는 구글 등의 검색엔진을 통해 검색이 가능한 일반적인 인터넷 사이트로, 누구나 쉽게 유출된 신용카드 정보를 획득할 수 있는 상황이다. 이로써 해당 신용카드 정보의 부정 사용 가능성이 훨씬 높아질 것으로 보인다. 인터넷을 통해 공유되고 있는 신용카드 정보는 작년 11월 말 클롭 랜섬웨어 (CLOP Ransomware)가 이랜드 그룹 에서 탈취했다고 주장하는 신용카드 정보 중 100만 건으로 처음 다크웹을 통하여 공개 됐다. 다크웹은 검색 서비스가 활성화되지 않아 원하는 정보를 찾는 것이 매우 어려우며 일반인이 접근하기 쉽지 않아 해당 정보가 널리 퍼지지 않을 것으로 예상되었으나, 정보가 공개된 웹사이트는 다크웹..

최근 외신에 따르면 “Silver Spallow”로 불리우는 새로운 Mac용 악성코드를 발견했습니다. “Silver Spallow”는 Apple의 새로운 M1 칩용 Native Code를 대상으로 하는 악성코드로, Mac OS를 대상으로 만들어졌습니다. Apple에서 개발한 M1칩이 한국시간 기준 2020년 11월 11일에 공개되었습니다. 해당 M1 칩을 탑재한 제품 군들이 악성코드 제작자들의 표적이 되어 프로토타입의 악성코드들이 등장하고 있습니다. M1 칩의 경우 출시한지 얼마 되지 않은 칩셋으로 보안 연구가 충분히 진행되지 않아 악성코드 제작자 또한 이러한 점을 악용하여 제작 중 인 것으로 보입니다. 외신에 따르면 “Silver Spallow”는 미국, 영국, 캐나다 등 153개국에서 약 29,139..

전 세계가 코로나19 바이러스 감염증으로 많은 주의와 관심을 가지는 가운데, 이를 이용한 사회공학기법 악성코드가 크게 증가하고 있는 추세이다. 최근에는 북한에 대한 내용으로 코로나 19 관련 뉴스를 위장한 문서가 유포되었다. 해당 문서는 “Pyongyang stores low on foreign goods amid North Korean COVID-19 paranoia”라는 제목을 가진 워드 문서이다. 문서 본문의 내용은 "NK NEWS" 에서 발표한 내용과 동일하지만, 문서 내부에 포함된 페이로드가 실행되면 악성파일을 다운로드한다. 해당 악성파일은 사용자 PC의 정보를 탈취하는 Amadey 악성코드로, 2019년부터 현재까지 지속적으로 나타나는 악성코드이기에 주의가 필요하다. 해당 문서는 하기의 이미지..

악성 피싱 메일 주의! 최근 유명 기업을 사칭한 피싱 메일이 기승을 부리고 있다. 피싱 메일인 것처럼 속이기 위해 실제 해당 기업이 사용하는 서비스와 전화번호를 사용하고 있어 사용자의 주의가 필요하다. 아래의 피싱 메일은 유명 배송 기업인 D사를 사칭한 메일이다. 해당 메일은 인보이스를 확인하고 문의 사항이 있으면 적혀있는 메일로 회신해 달라는 내용과 함께 해당 인보이스를 기업에서 제공하는 서비스를 통해 확인할 수 있다고 기재하여 사용자를 속이고 있다. 첨부 파일에는 해당 기업의 인보이스 이미지가 존재하며, 실행 시 악성매크로를 통해 감염이 이루어진다. 아래의 피싱 메일은 유명 해외 배송 회사인 U사를 사칭한 피싱 메일이다. 해당 메일은 첨부된 링크에 접속하여 인보이스를 확인하여 문의 사항이 있으면 적혀..

악성 피싱 메일 주의! 최근 유명 기업을 사칭한 인보이스 피싱 메일이 다시 기승을 부리고 있다. 피싱 메일인 것을 속이기 위해 실제 해당 기업이 사용하는 메일 양식 및 이미지를 사용하므로 사용자들의 주의가 필요하다. 아래의 피싱 메일은 유명 금속 생산 업체인 J사를 사칭한 메일이다. 해당 메일은 첨부된 링크에 접속하여 카드 결제를 진행해 달라는 내용이 담겨있다. 아래에 첨부된 링크에 접속하면 정보 탈취가 이루어지거나 악성 파일을 다운로드 한다. 아래의 피싱 메일은 유명 해외 결제 사이트 P사를 사칭한 메일이다. 해당 메일은 역시 첨부된 링크에 접속하여 결제를 진행해 달라는 내용을 담고있다. 메일의 양식이나 이미지가 전부 P사와 동일하며 악성 링크가 첨부된 결제 버튼 이외에는 전부 실제 P사와 연결되는 링..