잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top10 2022년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 8,215건이 탐지되었다. 악성코드 진단 수 전월 비교 9월에는 악성코드 유형별로 8월과 비교하였을 때 Trojan과 Backdoor의 진단 수가 증가했고, Virus, Worm 및 Suspicious의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 9월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 8월에 비해 진단 수가 증가했지만, 셋째 주에는 감..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 142건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 6건으로 두번째로 많이 발생했다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 27%로 가장 높은 비중을 차지했고, 프랑스가 12%, 이탈리아가 5%, 스페인, 영국 및 대만이 각각 4%로 그 뒤를 따랐다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비..

최근 “BlueSky” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 “Conti”, “Babuk” 랜섬웨어와 유사한 암호화 루틴을 갖고있다. 또한, 주로 윈도우 호스트를 대상으로 하여 더 빠른 암호화를 위해 멀티 쓰레딩 기법을 사용하는 특징이 있다. (멀티 쓰레딩 : 다량의 쓰레드를 생성해 각자 역할을 할당하고, 동시 다발적으로 동작을 수행하여 효과적이고 빠른 암호화를 수행할 수 있다.) “BlueSky” 랜섬웨어는 사용자 PC에 적용된 모든 드라이브 대상으로 암호화를 수행하고, 랜섬노트를 드랍한다. 랜섬노트에는 암호화된 파일을 빌미로 금전을 요구한다. Analysis “BlueSky” 랜섬웨어는 실행 시, 32바이트의 랜덤 값으로 이루어진 이름의 뮤텍스를 생성한다. 이후, 해당 32바이트의 랜덤 값으로..

Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상..

개요 Apache 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Apache Kafka v2.8.2, v3.0.2, v3.1.2, v3.2.3 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66930 https://kafka.apache.org/cve-list https://nvd.nist.gov/vuln/detail/CVE-2022-34917 https://kafka.apache.org/downloads

최근, Python에서 15년간 패치되지 않은 취약점 CVE-2007-4559가 다시 주목받고 있다. 보안 업체 Trellix에 따르면 이 취약점은 Python의 TAR 압축 파일 관련 모듈인 tarfile의 extract 함수에서 발생하는 Directory Traversal 취약점으로 알려졌다. 공격자가 해당 취약점을 악용할 경우 TAR 압축 파일명에 "../" 문자열을 추가하여 기존 압축 해제 경로를 탈출하고 다른 경로에 존재하는 임의의 파일을 덮어쓸 수 있다. Trellix는 해당 취약점을 악용하기 매우 쉽고 보안에 대한 지식이 전혀 필요하지 않아 악용될 가능성이 높다고 경고했다. 사진출처 : Trellix 출처 [1] Trellix (2022.09.21) – Tarfile: Exploiting t..

최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다..

최근, 그리스 국세청을 사칭한 피싱 사이트에서 키로깅을 통해 정보를 탈취하는 공격이 발견됐다. 보안 업체 Cyble은 공격자가 그리스 납세자에게 세금 환급 내용으로 위장한 피싱 메일을 전송해 피싱 사이트 접속을 유도한다고 알렸다. 피싱 사이트는 그리스 국세청 페이지로 위장하고 있으며, 은행을 선택하면 해당 은행 사이트를 가장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 해당 페이지에서 아이디와 패스워드를 입력할 경우, 로그인 버튼을 누르지 않아도 키로깅을 통해 사용자의 모든 키 입력 정보를 공격자에게 실시간으로 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2022.09.14) – Phishing Campaign Targets Greek Banking Users https:..

최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M..

개요 Wordfence 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Wordpress BackupBuddy v8.7.5 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66918 https://ithemes.com/blog/wordpress-vulnerability-report-special-edition-september-6-2022-backupbuddy/ https://www.wordfence.com/blog/202..