TACHYON 1370

윈도우 서비스로 위장한 Sagerunex 백도어

최근 동남아시아 지역의 공공 및 국방 기관을 대상으로 Sagerunex 백도어를 유포하는 캠페인이 발견됐다. 해당 백도어는 2012년부터 유포되던 Elise 백도어를 시작으로 기능을 개선 및 추가하는 등 지속적으로 업그레이드해 Evora, Sagerunex 순으로 발전돼 왔다. 또한 여러 공격 사례에서 Sagerunex 백도어의 C&C 서버 연결 방식에 따른 다양한 변종이 발견되고 있다. 캠페인에서 공격자는 정상 서비스인 swprv의 DLL 파일로 위장한 로더 악성코드를 윈도우 폴더에 저장하고 서비스 DLL의 경로가 저장된 레지스트리를 로더의 저장 위치로 수정한다. 이후 공격자가 swprv 서비스를 재시작하거나 시스템을 재부팅해 해당 서비스가 로더의 ServiceMain 함수를 호출하도록 유도하며 로더..

러시아 해킹그룹 FIN7, AnubisBackdoor 유포

최근 러시아 해킹그룹 FIN7이 제작한 파이썬 스크립트 기반의 AnubisBackdoor가 발견됐다. FIN7은 Savage LadyBug나 CarbonSpider라고도 불리며 은행과 미디어 등 여러 업체를 대상으로 공격해왔다. 근래에는 REvil 랜섬웨어를 사용하고 RaaS로 DarkSide 랜섬웨어를 판매했으며 2024년 7월에는 취약한 드라이버 파일로 보안 프로그램을 종료하는 AvNeutralizer를 제작 및 판매하는 정황도 발견됐다. 이번에 발견된 AnubisBackdoor는 FIN7이 제작한 새로운 백도어로 피싱 캠페인에서 유포된 ZIP 파일 내의 다른 정상 파일과 함께 들어있다. 이 악성코드는 Base64 인코딩, AES 암호화 및 모양이 유사한 문자를 이용해 난독화한 것이 특징이다. 복호화..

Mozilla 제품 보안 업데이트 권고

개요Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 취약점 정보Firefox ESR 115.23.1Promise 객체를 리졸브(Resolve)할 때 OOB(Out Of Boundary) 취약점 발생CVE-2025-4918 선형 합 최적화 시 OOB(Out Of Boundary) 취약점 발생CVE-2025-4919 Firefox ESR 128.10.1Promise 객체를 리졸브(Resolve)할 때 OOB(Out Of Boundary) 취약점 발생CVE-2025-4918 선형 합 최적화 시 OOB(Out Of Boundary) 취약점 발생CVE-2025-4919 Firefox 138.0.4Promis..

취약점 정보 2025.05.19

Microsoft 05월 정기 보안 업데이트 권고

개요Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 취약점 정보Critical 등급Azure DevOps Server 권한 상승 취약점CVE-2025-29813 Azure Automation 권한 상승 취약점CVE-2025-29827 Microsoft Virtual Machine Bus (VMBus) 원격 코드 실행 취약점CVE-2025-29833 원격 데스크톱 클라이언트 원격 코드 실행 취약점CVE-2025-29966, CVE-2025-29967 Azure Storage Resource Provider 스푸핑(spoofing) 취약점CVE-2025-29972 Microsoft Office 원격 코..

취약점 정보 2025.05.14

2025년 04월 악성코드 동향 보고서

1. 악성코드 통계악성코드 유형별 비율2025년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 58%로 가장 높은 비중을 차지했고, “Virus”가 12%로 그 뒤를 따랐다. 2. 악성코드 동향2025년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 국내 안드로이드 사용자를 공격하는 "SoumniBot" 악성코드가 등장했다. 또한, 피싱 메일을 통해 유포되는 "TROX Stealer" 악성코드와 "Fog" 랜섬웨어 변종이 발견됐다. 이 외에도 사이버 범죄 포럼 등 다양한 플랫폼에서 판매되는 "Neptune RAT" 악성코드의 변종의 발견 소식이 전해졌다. Neptune..

동향 리포트 2025.05.08

Cisco 제품 보안 업데이트 권고

개요Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다취약점 정보 Cisco Catalyst SD-WAN Manager 크로스 사이트 스크립팅(Cross-Site Scripting) 취약점CVE-2024-20475 Cisco Meraki MX 및 Z 시리즈 AnyConnect VPN 서비스 거부(DoS) 취약점CVE-2025-20212 Cisco Enterprise Chat and Email 서비스 거부(Denial of Service) 취약점CVE-2025-20139 Cisco Evolved Programmable Network Manager와 Cisco Prime Infrastructure에 저장된 크로스 ..

취약점 정보 2025.05.07

Apple 제품 보안 업데이트 권고

개요Apple 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 취약점 정보macOS Sequoia 15.4.1CoreAudio악의적으로 제작된 미디어 파일의 오디오 스트림을 처리할 경우 코드가 실행될 수 있음.CVE-2025-31200 RPAC임의의 읽기, 쓰기 권한을 가진 공격자가 포인터 인증을 우회할 수 있음.CVE-2025-31201 참고자료https://support.apple.com/ko-kr/122400

취약점 정보 2025.04.23

Microsoft 04월 정기 보안 업데이트 권고

개요Microsoft 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 취약점 정보Critical 등급Windows Lightweight Directory Access Protocol(LDAP) 원격 코드 실행 취약점CVE-2025-26663 Lightweight Directory Access Protocol(LDAP) 클라이언트 원격 코드 실행 취약점CVE-2025-26670 Windows TCP/IP 원격 코드 실행 취약점CVE-2025-26686 Windows 원격 데스크톱 서비스 원격 코드 실행 취약점CVE-2025-27480, CVE-2025-27482 Windows Hyper-V 원격 코드 실행 취약점CVE..

취약점 정보 2025.04.17

SvcStealer, 정보 탈취 후 ClipBanker 유포

2025년 3월 말, 사용자 PC의 웹 브라우저 데이터와 시스템 정보 등을 탈취하는 새로운 정보 탈취 악성코드인 SvcStealer가 발견됐다. 이 악성코드는 웹 브라우저 데이터를 포함한 암호화폐 지갑 정보와 Telegram 또는 Discord 등의 메신저 프로그램의 정보뿐만 아니라 설치된 프로그램의 정보까지 수집해 공격자의 C&C 서버로 전송한다. 정보 탈취 이후 공격자의 C&C 서버에서 ClipBanker를 다운로드하는데 이는 클립보드의 데이터를 변경하는 악성코드로 사용자가 암호화폐를 거래할 때 지갑 주소를 복사할 경우 지정된 주소로 변경돼 공격자에게 송금하게 된다.  SvcStealerSvcStealer를 실행하면 수집한 데이터를 저장할 폴더를 생성한 뒤 작업 관리자 등의 프로세스 모니터링 도구를 ..

메모리 패치를 이용해 탐지를 회피하는 SweatRAT

메모리 패치를 이용해 보안 소프트웨어의 탐지를 회피하는 SweatRAT 악성코드가 발견됐다. 해당 악성코드는 윈도우 이벤트 기록 함수 EtwEventWrite와 AMSI(Antimalware Scan Interface) 관련 함수 AmsiScanBuffer의 시작 코드를 수정해 탐지를 우회한다. 또한, SweatRAT는 프로세스 할로잉을 이용해 정상 프로세스로 위장한 후 공격자가 운영하는 C&C 서버와 통신해 키로깅, 원격 제어 및 추가 파일 실행 등의 동작을 수행한다. 동작 순서SweatRAT은 파이썬 스크립트를 PyInstaller로 패키징한 실행 파일인 “_OneDrive.exe”로 유포되며 실행 시 파일 내부에 저장된 PE 데이터를 디코딩한 후 .NET Assembly로 실행한다. 이후, 시작 프..