잉카인터넷 시큐리티대응센터 블로그

최근, 온라인 게임 Minecraft의 개인 서버를 공격하는 "MCCrash" 봇넷 악성코드가 발견됐다. Microsoft 보안팀에 따르면, 이 악성코드는 주로 Windows OS 정품인증 크랙 도구인 KMSAuto 등의 프로그램으로 위장해 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 레지스트리 키를 추가해 지속성을 유지하고 온라인 게임인 Minecraft의 개인 서버를 대상으로 DDoS 공격을 수행한다. 또한, 다른 시스템을 감염시키기 위해 취약한 SSH 계정을 사용하는 리눅스 장치를 찾아 무차별 대입 공격을 시도한다. 사진출처 : Microsoft 출처 [1] Microsoft (2022.12.15) - MCCrash: Cross-platform DDoS botnet targets privat..

최근, 피싱 사이트를 통해 유포되는 "DarkTortilla" 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 맞춤법 검사 프로그램인 Grammarly 설치 파일로 위장해 피싱 사이트에서 유포된다고 알렸다. 해당 파일을 설치할 경우, "DarkTortilla" 악성코드가 실행되고 공격자 C&C 서버에서 "AgentTesla" 및 "Nanocore" 등의 추가 악성코드를 다운로드해 피해자의 정보를 탈취한다. 또한, 피해자의 PC에 존재하는 LNK 파일들을 확인하고 해당 파일의 아이콘으로 위장한 악성 LNK 파일을 생성해 지속성을 유지한다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.16) - Sophisticated DarkTortilla Malware Spreading Vi..

최근, 대출 서비스 앱으로 위장한 "MoneyMonger" 악성 앱이 발견됐다. 모바일 보안 업체 Zimperium에 따르면, 이 악성 앱은 주로 스미싱과 소셜미디어 등을 통해 유포된다고 알려졌다. 해당 악성 앱을 실행할 경우, 대출 가능 여부를 확인하기 위해 GPS 데이터 및 저장소 접근 등의 권한을 허용할 것을 요구한다. 이후, 공격자는 허용된 권한으로 연락처 정보와 통화 기록 및 사진 등의 정보를 탈취해 피해자를 협박하는데 사용한다. 사진출처 : Zimperium 출처 [1] Zimperium (2022.12.15) - MoneyMonger: Predatory Loan Scam Campaigns Move to Flutter https://www.zimperium.com/blog/moneymonger..

최근, 베트남 사용자들을 대상으로 Facebook 계정을 탈취하는 "Schoolyard Bully" 악성 앱이 발견됐다. 보안 업체 Zimperium에 따르면 이 앱은 교육용 앱으로 위장해 Google Play Store에서 유포된다고 알려졌다. 해당 앱을 실행할 경우, 앱에 웹 콘텐츠를 표시해주는 도구인 WebView에 악성 자바스크립트를 삽입하여 Facebook 로그인 시 사용자가 입력한 계정 정보를 탈취한다. 현재, 이 앱은 Google Play Store에서 제거됐지만 다른 앱 스토어에서는 제거되지 않아 여전히 다운로드가 가능하다. 사진출처 : Zimperium 출처 [1] Zimperium (2022.12.01) - Schoolyard Bully Trojan Facebook Credential ..

IoT 장치를 대상으로 공격하는 새로운 "RapperBot" 봇넷 악성코드가 발견됐다. 해당 악성코드는 과거 소스코드가 공개된 “Mirai”를 기반으로 하고 있지만, “Mirai”에서 주로 사용하는 텔넷 자체 전파 방식이 아닌 SSH를 활용한 전파 방식을사용한다. 이 과정에서 SSH 서버를 스캔하고 자격 증명을 무작위로 입력해 접근 권한을 획득한 후, “RapperBot”을 감염한다. 이후 감염된 장치에서 실행된 악성코드는 공격자의 C&C 서버에서 받은 명령에 따라 DDoS 공격을 수행한다. 자가 삭제 먼저, “RapperBot”을 실행하면 unlink 함수를 사용해 실행한 파일을 자가 삭제한다. 와치독 타이머 초기화 - 재부팅 방지 그 다음, IoT 장비에서 의도하지 않은 무한 루프 등의 오작동을 탐지..

최근, Fortinet사의 제품에 영향을 미치는 CVE-2022-42475 취약점이 발견됐다. 해당 업체에 따르면, 이 취약점은 FortiOS SSL-VPN에서 발생하는 힙 버퍼 오버플로우 취약점으로 알려졌다. 또한, 악용할 경우 인증되지 않은 사용자가 변조된 요청을 통해 임의 코드를 실행할 수 있다고 알렸다. Fortinet 측은 이 취약점이 실제로 악용된 사례를 발견했다고 언급하며, 해당 취약점이 해결된 최신 버전으로 업데이트 할 것을 권고했다. 출처 [1] Fortiguard (2022.12.12) - FortiOS - heap-based buffer overflow in sslvpnd https://www.fortiguard.com/psirt/FG-IR-22-398

개요 Samba 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Samba v4.15.13, v4.16.8, v4.17.4 및 이후 버전 참고자료 https://www.samba.org/samba/history/security.html https://www.samba.org/samba/security/CVE-2022-37966.html https://www.samba.org/samba/security/CVE-2022-38023.html https://www.samba.org/samba/security/CVE-2022-451..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco ISE v3.1P5, v3.2P1 및 이후 버전 참고자료 https://tools.cisco.com/security/center/publicationListing.x https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-path-trav-Dz5dpzyM

개요 Google 사는 Android에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android AOSP v10, v11, v12, v12L, v13 및 이후 버전 참고자료 https://source.android.com/docs/security/bulletin/2022-12-01

개요 VMware 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Access v22.09.1.0, KB90399 및 이후 버전 - vIDM KB90399 및 이후 버전 - VMware Cloud Foundation (vIDM) KB90384 및 이후 버전 - VMware vRealize Network Insight (vRNI) v6.2 HF, v6.3 HF, v6.4 HF, v6.5x HF, v6.6 HF, v6.7 HF및 이후 버전 - ESXi ESXi80a-20842819, ESXi70U3si-20841705 및..