통합검색
'' 검색결과는 총 127 건 입니다.
악성 PDF 파일 내용 (출처: FORTINET)PDF 파일에 삽입된 URL (출처: FORTINET)뱅킹 트로이 목마 최근 3월, 브라질 은행 사용자를 대상으로 하는 CHAVECLOAK라는 심각도가높은 트로이 목마가 발견 되었습니다. 뱅킹 트로이 목마는 주로 온라인 금융 시스템을 표적으로 삼아 정교하게 제작된 소프트웨어 프로그램을 위협하고 있으며, 사용자로부터 민감한 금융 정보를 훔치는 것을 목표로 하고 있습니다. 이러한 트로이 목마는 일반적으로 은밀하게 작동하여 피싱 이메일, 손상된 소프트웨어 또는 악성 웹 사이트와 같은 다양한 벡터를 통해 컴퓨터에 침투합니다.이 트로이 목마가 피해자의 장치에 침투하게 되면 키 입력 정보를 모니터링 및기록하거나 스크린 샷을 캡처하고, 웹 세션을 조작할 수 있는 능력을 가지게 됩니다. 그 결과로 로그인 자격 증명을 가로채어 사용자의 개인 정보나 금융 정보가 유출되어 금융 계좌에 대한 무단 액세스 및 사기 거래가 발생하는 경우로 이어집니다.CHAVECLOAK 공격 흐름도 CHAVECLOAK 공격 흐름CHAVECLOAK 공격 흐름이 공격은 PDF 파일을 포함한 피싱 메일을 통해 전파됩니다. 사용자를 속여PDF 파일인 문서를 열면 내용 안에 전자 서명이 가능한 버튼이 있습니다. 실제로 버튼을 클릭하면 Goo.su URL 단축 서비스를 사용하여 원격 링크에서설치 파일을 검색을 합니다. 설치 파일 내에 존재하는 Lightshot.exe라는 실행 파일은 DLL 사이드 로딩을 활용하여 중요한 정보의 도난을 가능하게 하는CHAVE CLOAK 악성코드인 Lightshot.dll을 로드합니다. 이 악성코드는 시스템 메타데이터를 수집하고 브라질에 있는 손상된 시스템을 확인하기 위해 시스템을 검사합니다. 또한, victim 창을 모니터링하여 은행과 관련된 문자열을비교하고, 일치하면 C2 서버와 연결되어 다양한 종류의 정보를 수집하고 금융기관에 따라 서버의 고유한 해커 서버로 유출합니다. 이를 통해 운영자가 피해자의 화면을 차단하고, 키 입력을 기록하고, 사기성 팝업 창을 표시하도록 허용하는 등 피해자의 자격 증명을 훔치기 위한 다양한 전술을 사용합니다.결론CHAVECLOAK 뱅킹 트로이 목마는 SMS, 이메일 피싱, 손상된 웹사이트를 통해 PDF, ZIP 파일 다운로드, DLL 사이드로딩 및 사기성 팝업을 활용하여 전파되는 심각한 사이버 위협입니다. 이 트로이 목마는 브라질의 금융 시장을 특히 목표로 하며, 개인정보 훔치기, 시스템 정보 스캔, 키스트로크 로깅 등을 통해 사용자의 은행 계정에 심각한 피해를 주고있습니다. 이러한 유사한 뱅킹 트로이 목마로부터 보호하기 위해 주의 깊은 행동 방침을 따르는 것이 중요합니다.뱅킹 트로이 목마에 대한 보안 권장 사항• 사용자는 의심스러운 이메일 또는 신뢰할 수 없는 출처에서 보낸 이메일 내에 링크 클릭이나 첨부 파일을 다운로드 수락 또는 실행해서는 안됩니다.• 웹사이트 URL에 오타나 사소한 변형이 있는지 확인하고, 2단계 인증(2FA)을 활성화 하여 강력한 비밀번호를 사용해야합니다.• 운영체제, 웹 브라우저 및 보안 소프트웨어를 정기적으로 업데이트하여 새롭게 발견되는 악성코드로부터 보호할 수 있습니다.• 바이러스 백신 소프트웨어를 최신 상태로 유지해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 1월 악성코드 유형별 진단 수 비교상위 10개의 랜섬웨어 제품군(출처:Bitdefender)Faust 랜섬웨어2018년 12월에 처음 발견된 포보스(Phobos) 랜섬웨어는 주로 소규모 기업을 대상으 로 하는 사이버 위협이며, 상위 10개의 랜섬웨어 제품군 중 하나이기도 합니다. Faust 랜섬웨어는 2019년 이후에 등장했으며, 피해자의 컴퓨터에 있는 파일을 암호화하도록 설계된 악성 소프트웨어 그룹, 포보스 랜섬웨어의 변종입니다. 최근 Faust 랜섬웨어를 전파하는 것을 목표로 하는 VBA 스크립트가 포함된 오피스 문서가 발견되어 이슈가 되 기도 했습니다.Faust 랜섬웨어는 주로 감염되는 컴퓨터에 저장된 파일 유형을 대상으로 삼고 암호화 알고리즘을 사용해 파일을 잠그면서 진행되며, 피해자는 잠겨진 문서, 이미지, 데이터베 이스 및 기타 여러 파일에 액세스할 수 없어지고, 사용할 수 없게 됩니다. 그런 다음 Faust 랜섬웨어 운영자는 암호 해독 키를 제공하겠다고 약속하며 피해자에게 금전적 요구 하는 방식으로 이득을 취하게 됩니다.암호화 제외 리스트(출처:포티넷)Faust 랜섬웨어 감염 과정 암호화 초반 과정Faust 랜섬웨어는 사회 공학적 전술을 이용하여 가짜 이메일, 메시지로 사람들 을 속여 중요한 정보를 공개하거나 악성 콘텐츠를 다운로드하도록 합니다. 그런 다음, 일반적으로 손상되고 취약한 RDP(원격 데스크톱 프로토콜) 연결을 악용 하여 시스템에 대한 무단으로 접근할 수 있는 권한을 얻습니다. 시스템을 감염 시키면 Faust는 강력한 암호화 알고리즘을 사용하여 감염된 컴퓨터나 네트워 크의 여러 파일을 암호화합니다.암호화 제외 리스트Faust 랜섬웨어는 몇가지 파일 확장자, 경로, 파일명을 제외하고 암호화합니다. 포보스 이외의 랜섬웨어에 감염됐을 경우 이중으로 암호화 될 수도 있고 시스템 을 파괴하거나 랜섬 정보를 암호화하는 것을 방지하기 위함으로 보입니다.암호화된 파일 이름(출처:PCrisk) Info.txt(출처:PCrisk)암호화된 파일 이름 변경암호화된 파일은 이름이 변경됩니다. Faust 랜섬웨어는 각 피해자의 고유 ID인 고유 식별자를 파일 이름에 추가합니다. 또한 파일 이름에는 공격자의 이메일 주 소(gardex_recofast@zohomail.eu)가 포함되어 있습니다. 이러한 암호화된 파일을 구별하기 위해 새 파일 확장자 ‘faust’를 추가하고 디렉터리 내에서 info.txt 및 info.hta를 생성합니다. 이 파일들은 협상을 위해 공격자와 연락을 취하는 수단으로 사용됩니다.암호 해독 방법 전달Faust 랜섬웨어는 암호화 과정을 거쳐 info.txt, info.hta 두 개의 랜섬 노트를 전달하여 피해자가 공격에 대해 알 수 있도록 합니다. 랜섬노트에서 Faust 랜섬 웨어는 암호 해독 키의 대가로 비트코인 지불을 요구합니다. 구체적인 금액은 피 해자가 공격자와 얼마나 빨리 접촉을 하는지에 따라 다릅니다. 결론Faust 랜섬웨어 같은 새로운 변종이 등장한 것처럼, 랜섬웨어 환경은 계속해서 진화하고 있습니다. 진화하는 랜섬웨어를 예방하기 위해 안전한 보안 환경을 계속해서 유지해야 할 것이며, 소프트웨어를 최신 상태로 유지하고, 데이터를 백업하는 등의 개인적인 노력도 필요합 니다. 또한 공격이 발생하면 신속하고 결단력 있는 조치가 필요합니다. 감염된 시스템을 격리하고, 랜섬웨어 변종을 식별하고, 관련 기관 에 사고를 보고해야 하는 것도 명심하시길 바랍니다.Faust 랜섬웨어 예방 방법 • 소프트웨어를 최신 상태로 유지 : 운영 체제와 프로그램을 정기적으로 업데이트하여 소프트웨어의 취약점을 지속적으로 점검하고 새로 탐지된 위협으로부터 보안 상태를 유지하기 위해 보안 기준을 패치하도록 합니다.• 평판이 좋은 바이러스 백신 소프트웨어 사용 : 평판이 좋은 바이러스 백신 소프트웨어를 사용하여 멀웨어에 대한 보호를 크게 강화하고 정기적으로 업데이트 되는지 확인합니다.• 의심스러운 이메일 주의 : 피싱 이메일은 사이버 공격자가 사용하는 가장 일반적인 공격 방법 중 하나이므로 의심스러운 이메일 내의 파일을 열거나 링크를 클릭 하지 말아야 합니다.•데이터 백업 : 랜섬웨어 공격 시 데이터가 완전히 손실되지 않도록 외장하드나 클라우드에 정기적으로 데이터를 백업해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint)라즈베리 로빈 라즈베리 로빈(Raspberry Robin)은 2021년 Red Canary이 처음 식별된 웜으로, 주로 USB 드라이브와 같은 이동식 저장 장치를 통해 확산되어 감염된 시스템에 발판을 마련하고 추가 페이로드를 쉽게 배포할 수 있습니다. 그러나 라즈베리 로빈의 최신 버전은 더욱 은밀하고 취약한 시스템에만 배포되는 사이드로딩 공격, 0-day 취약점 공격 등을 구현합니다. 사이드로딩 공격은 합법적인 프로그램을 악용하여 악성 DLL 파일을 로딩을 하는 기법입니다. 최근에는 OleView.exe 파일을 악용하는 사례가 있었으며, 0-day 취약점 공격은 알려지지 않는 0-day 취약점을 악용하여 시스템 권한 상승(CVE-2023-36802 및 CVE-2023-29360)을 시켜 라즈베리 로빈을 설치합니다. 이러한 공격의 최종 목표는 데이터 도난, 암호화 랜섬웨어 공격, CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint) 기타 악성 활동 등 다양한 악영향을 가져올 수 있습니다.Raspberry Robin 공격 흐름Discord를 이용한 라즈베리 로빈 공격 흐름 최근 Discord 플랫폼을 이용하여 공격 대상자에게 링크를 이메일로 보낸 후 악성 압축 파일을 업로드하여 이루어지는 공격입니다. 파일은 File.Chapter-1.rar와 유사한 이름을 가지고 있지만, 위장을 위해 다른 이름으로 변형될 수 있습니다. 공격자는 다양한 방법을 사용하여 피해자를 속여 해당 파일을 다운로드하고 실행하도록 유도합니다. 파일을 실행하면, OleViw.exe라는 정상적인 Microsoft 실행 파일이 실행되면서 압축된 악성 Raspberry Robin DLL 파일을 로딩을 합니다. 이 DLL 파일은 외부적으로는 정상적인 Microsoft 서명을 가진 것 처럼 보이지만, 실제로는 유효하지 않습니다. 로딩된 DLL 파일은 시스템 내의 취약점을 악용하여 권한 상승을 시도합니다. 최근의 공격에서는 알려지지 않은 0-day 취약점을 이용한 것으로 알려져 있으며, 권한 상승에 성공하면 공격자는 네트워크 내의 다른 시스템으로 이동하고 악성 코드를 설치하여 지속적인 접근을 유지합니다.Raspberry Robin 변종에서 볼 수 있는 시스템(출처:checkpoint)결론라즈베리 로빈(Raspberry Robin)은 최근 급속하게 성장한 멀웨어이며, 복잡한 공격의 단계를 간단히 해결해주고 권한 상승이라는 취약점 공격이 꾸준히 추가되면 그 이후에도 여러 유형의 공격을 쉽게 시작 할 수 있기 때문에 Evil Corp나 TA 505와 같은 악명 높은 사이버 범죄 집단들이 라즈베리 로빈을 즐겨 사용하는 것으로 알려져 있습니다. 라즈베리 로빈의 예전 버전은 주로 USB 드라이브로 배포를 했다면, 최근에는 디스코드 RAR 파일을 통해 배포를 합니다. 또한, 이전 버전에 업데이트를 하여 추가적인 기능 몇가지가 포함 되어있으며 공격에 당하면 데이터 도난, 암호화 랜섬웨어 공격, 기타 악성 활동 등 다양한 악영향을 가져올 수 있기 때문에 주의를 해야합니다.사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를클릭하지 않아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
라자루스 공격 그룹의 공격 타임라인(출처:트랜드 마이크로)Lazarus라자루스(Lazarus)는 국가차원의 지원을 받는 것으로 알려진 공격 그룹으로 2009 년부터 악성 활동을 본격적으로 시작한 것으로 알려져 있습니다. 이 조직이 잘 알려지게 된 계기는 2014년 소니픽쳐스를 공격한 Operation Blockbuster 사건부터 였습니다. 또한, Operation Flame, Operation Troy, DarkSeoul 등 수많은 공격을 수행해 왔습니다. 하위 조직으로는 블루노르프로 알려진 APT38, 안다리엘 등이 존재하는 것으로 알려져 있습니다. 라자루스의 공격은 기존의 인프라 해킹과 같은 기술 기반의 공격, 인프라 시스템의 보안이 점점 강화되자 비교적 보안이 취약한 사람을 대상으로 한 사회공학적 공격 기법 등까지 다양한 방식으로 이루어집니다. 또한, 이들은 새로운 제로데이 취약점 공격 코드 등도 지속적으로 개발하고 있습니다.피싱 공격 프로세스라자루스가 CoinsPaid 를 공격한 프로세스(출처:CoinsPaid)스피어 피싱 피싱 공격 프로세스 스피어 피싱(Spear-Phishing) 공격이란? 스피어 피싱이란 피해자를 속여 중요 정보를 공유하도록 하는 공격인 피싱과 창(Spear)의 합성어로 기업, 개인 등 단일 대상 목표로 피싱 공격을 수행하는 공격 방식입니다.라자루스의 스피어 피싱 공격 라자루스는 개인들이 많이 사용하는 보안 소프트웨어의 제로데이 취약점을 활용 하기 위해 보안 소프트웨어 개발사를 대상으로 하거나 암호화폐 탈취를 위해 암호화폐 기업의 직원을 대상으로 하는 등 다양한 대상을 공격하고 있습니다. 그들의 주요 공격 방식은 뉴스레터로 위장하여 메일에 첨부된 URL을 클릭하게 유도하거나 취업 담당관으로 속여 면접 제안 메일을 보내 URL을 클릭하거나 악성코드가 심어진 애플리케이션을 설치하게 하는 등의 방식으로 대상을 특정한 스피어 피싱 공격을 시도 하고 있습니다.워터링 홀 공격 기법 프로세스(출처:트랜드마이크로) 라자루스의 워터링홀 공격 기법 프로세스워터링 홀 침투 방법워터링 홀(Watering Hole) 공격 기법이란? 워터링 홀의 어원은 물웅덩이 근처에 매복하여 먹잇감을 노리는 사자의 모습에서 가져온 것입니다. 해커가 공격할 대상에 대한 정보를 미리 수집하여, 자주 방문하는 웹 사이트를 알아낸 뒤 해당 사이트의 제로데이 취약점을 공격해 접속하는 사용자에게 악성코드를 뿌리는 방식의 사이버 공격입니다.라자루스의 워터링 홀 공격 라자루스는 특정 대상이 없는 무차별적인 공격보다는 특정 대상을 선정하고, 세밀한 공격을 수행 합니다. 정찰 과정을 통해 대상 기업이 사용하는 솔루션, IP 주소 대역, 업무 담당자 등의 사전정보를 확보합니다. 그 후 공격 대상이 업무상 목적으로 접근하거나 흔히 접근하는 웹사이트를 해킹하여 트리거 사이트를 준비해 놓습니다. 공격 준비가 완료 되면, 대상의 IP 주소 대역으로 필터링 해 공격 대상이 홈 페이지 접근 시 취약점 공격 코드가 존재하는 다른 사이트로 리다이렉팅 하는 방 식으로 공격을 수행합니다.결론라자루스(Lazarus) 공격 그룹은 워터링 홀 기법이나 스피어 피싱 등의 공격 기법을 주로 사용하며, 국내의 보안 소프트웨어 개발사나 암호화폐 결제 서비스 업체 등 다양한 대상을 상대로 공격을 펼쳐 왔습니다. 작년에 있었던 소프트웨어 공급망 공격이 올해에도 발생할 수 있으며, 꾸준한 제로데이 취약점 공격 코드 개발을 통해 기존에 진행했던 공격으로 예측 할 수 없는 공격을 가해올 수 도 있어 각별한 주의가 필요한 공격 그룹입니다.스피어 피싱과 워터링 홀 대응 방법라자루스의 대표적인 공격 기법인 스피어 피싱 공격이나 워터링 홀 공격 기법은 사회공학적 공격 기법으로 소프트웨어나 시스템의 취약 점이 아닌 사람의 실수를 공격에 이용하는 공격이기에 침입이나 위협을 판단하는 것이 어렵습니다. 하지만, 사회공학적 공격 기법은 사용자 개인의 분별력 제고 및 보안의식 수준에 크게 영향을 받습니다. 따라서, 평소 악성 메일 모의 훈련을 통해 경각심을 심어 주거나, 사회공학적 공격 기법을 방지하기 위한 지속적인 교육을 통해서 보안 의식을 향상 시키는 것으로 방지해 나가야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
조심하세요, 낮은 성공 확률로 벌어지는 크리덴셜 스터핑
국내 악성 봇 감염자의 접속 사이트 순위 (출처:로그프레소)크리텐셜 스터핑 피해 결과 그래프크리덴셜 스터핑크리덴셜 스터핑(Credential Stuffing)은 최근 온라인 보안에 큰 위협으로 부상하고 있는 방법 중 하나입니다. 이는 다크웹 등 다양한 온라인 플랫폼에서 유출된 아이디와 패스워드를 악의적인 목적으로 활용하여 무차별 대입을 자동화 시킨 악성 봇을 이용한 공격 기술입니다.작년 11월 한 달 동안 국내에서 탐지된 악성 봇 감염이 전월대비 54.62% 증가했으며, 전 세계 통계 43.04%보다 11.58%p 높습니다. 이를 통해 자격증명 탈취로 유출된 개인정보를 이용하여 최근, 인터파크(78만 여건)와 워크넷(23만 여건) 그리고 한국장학재단(3만 2천여 건)을 포함한 여러 기관 및 기업에서 수많은 피해 결과가 나왔습니다. 이러한 사례들은 크리덴셜 스터핑을 이용한 계정 탈취 공격의 심각성을 환기 시켜 주고 있습니다. 기술 환경의 발전과 함께 이러한 공격은 점차 더 정교해지고 있으며, 크리덴셜 스터핑을 탐지하고 예방하기가 점점 더 어려워지고 있다는 것을 의미합니다.크리덴셜 스터핑의 작동 원리크리덴셜 스터핑 공격 분석 크리덴셜 스터핑 공격은 악성 공격자가 대상 웹 사이트나 앱 그리고 다크웹에 유출된 아이디와 비밀번호 등의 개인 정보 데이터를 대량으로 구매하거나 수집합니다. 획득한 개인정보를 컴파일해 크리텐셜 목록을 생성합니다. 보통 이러한 목록을 이용해 자동화된 스크립트를 제작, 자동화된 봇을 통해 수많은 범용 사이트에 로그인 시도를 하게 됩니다. 이 과정을 스터핑이라고 부르며, 사용자 중 일부는 여러 사이트에서 동일한 아이디나 비밀번호를 사용하는 경향이 있어 일부 시도가 성공할 수 있습니다. 공격자가 계정 로그인에 성공하게 된다면 계정 정보를 통해 개인정보를 훔치거나 가상자산 정보를 악용해 금전적 이익을 취할 수도 있습니다. 또한, 불법적으로 검증된 인증 정보를 다크웹에서 다른 범죄자에게 판매할 수도 있습니다. 그리고 이 과정에서 획득한 정보를 기반으로 피싱, 스피어 피싱 등의 추가적인 공격을 시도할 수도 있습니다. 이러한 공격들은 개인의 프라이버시와 보안뿐만 아니라 해당 개인이 속한 기업의 보안도 위협하는 심각한 위험을 초래할 수 있습니다.결론크리덴셜 스터핑은 개인 정보 유출로부터 대량의 아이디와 비밀번호를 획득하여 계정을 탈취하는 공격으로, 자동화된 봇 사용이 활발해지며 공격 횟수가 늘어나고 있습니다. 한번 유출된 정보는 다른 유형의 범죄에도 악용되어 개인과 기업의 보안에 심각한 위협을 초래할 수 있습니다크리덴셜 스터핑 방지 방법 • 로그인 인증 시 MFA을 사용하여 추가적인 인증 단계를 통해 공격자가 도용한 계정 정보로 접근하지 못하게 해야합니다. • 봇을 방지하는 CAPTCHA 로그인 기능이 구현을 하여 다수의 웹사이트 로그인 폼에 대입하는 시도를 방지 해야합니다. • 비밀번호 설정은 복잡하고 길게 설정하여 사이트 마다 다르게 암호로 설정하며, 주기적으로 변경을 해야합니다. • 사용자들에게 보안의 중요성을 교육하고, 피싱 공격이나 악성 소프트웨어에 대한 인식을 높입니다. • 자주 사용되는 취약한 암호나 이전 유출된 정보를 포함한 암호를 블랙리스트에 등록하여 비밀번호 설정이 안되게 해야합니다. • 털린 내 정보 찾기 서비스로 자신의 계정정보 유출 여부를 확인 후 변경해 2차적인 피해를 예방할 수 있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
최근 3년간 탐지된 스미싱 문자 현황스미싱 스미싱은 문자메시지인 SMS와 피싱의 Pishing의 합성어로, 악성 앱 주소가 포함된 문자 메시지를 대량으로 전송하여 사용자를 속이고 개인정보를 탈취하거나 악성 앱을 설치시키는 사기 수법을 의미합니다. 스미싱은 주로 문자메시지를 통해 이뤄지며, 악성 앱을 설치시키기 위한 인터넷 주소가 문자메시지에 포함되어 있습니다. 인터넷 주소 링크를 클릭하면 앱 설치 파일인 APK로 연결되어 악성 앱이 설치가 됩니다. 이를 통해 소액결제를 유도하거나 개인정보를 빼내게 되어 금융 피해를 입을 수 있습니다. 공격은 해마다 꾸준히 증가하고 있으며, 일상생활이나 사회적 이슈와 관련된 주제는 넘치기 때문에 시기에 맞는 그럴듯한 메시지만 있으면 준비는 끝납니다. 특히 명절이나, 종합 소득세 신고 기관과 같은 특정 기간에 피해 사례가 증가하는 경향을 보이고 있습니다. 명절 기간에는 택배로 선물을 주고받는 빈도와 물량이 늘어나 택배가 지연됨에 따라 배송 일정을 궁금해하는 고객들의 심리를 악용한 사례가 많고, 직장인 연말정산 조회 기간은 보통 설 명절 전후여서 3월 급여에 포함되는 금액을 미리 확인해 보고자 하는 직장인의 심리를 악용한 사례가 많습니다.스미싱 공격의 흐름스미싱 공격 분석공격자는 광범위한 전화번호 목록을 사용하여 무작위로 선택하거나, 이전 침해에서 얻은 데이터 또는 다크웹에서 판매된 정보들을 기반으로 스미싱 문자를 보낼 대상을 정합니다. 공격자는 긴급성, 두려움, 호기심과 같은 특정 감정이나 반응을 불러일으키는 사기성 문자 메시지를 만듭니다. 메시지 내용 안에는 링크 클릭, 연락 바람 등과 같은 유도문이 포함됩니다. 공격자는 SMS 게이트웨이, 스푸핑으로 감염된 장치 등을 사용하여 대상에게 스미싱 메시지를 보냅니다. 피해자는 메시지를 받고 공격자가 바라는 대로 메시지 내용에 포함된 링크를 클릭하거나 공격자에게 전화를 걸게 될 경우 여러가지 결과가 발생 할 수 있습니다. 피해자는 개인 또는 금융 데이터를 입력하는 사기성 웹 사이트를 방문하거나, 장치에 악성 소프트웨어를 다운로드 할 수도 있습니다. 특정 번호로 전화를 걸 경우 공격자는 피해자에게 정보 제공을 요청하거나 요금을 부과하도록 속일 수 있습니다. 원하는 정보를 손에 넣으면 공격자는 신원 도용, 무단 거래, 다크웹에서 데이터 판매, 또는 얻은 데이터를 통해 추가적인 공격을 할 수 있습니다.스미싱 문자 사례(출처 : 과기정통부)연말정산 환급금 관련 스미싱(출처 : 중부일보)설날을 노린 스미싱명절 기간에는 주소가 확인되지 않아 반송되니 확인을 바란다는 문자와 송장 번호 주소 불일치로 물품을 보관 중이라는 문자, 미수령 택배가 있으니 확인하라는 문자 등 택배 회사를 사칭하는 스미싱 공격이 많습니다. 그리고 백화점과 마트에서 할인 행사와 이벤트를 많이 열어 이런 특징을 활용한 명절 선물로 모바일 상품권을 보내드리니 확인 바란다는 문자와 명절 선물 할인쿠폰 지급이 되었으니 확인 바란다는 문자 등의 스미싱 공격이 있습니다연말정산을 노린 스미싱발신자를 국세청으로 속여 연말정산 관련 문자를 전송하였으니 첨부한 인터넷 주소를 확인하라는 내용으로 인터넷 주소는 국세청을 사칭하는 피싱 사이트 주소이고 해당 사이트에서 공제 대상 조회를 목적으로 개인정보를 입력하라고 유도하는데, 이때 공격자는 사용자의 개인정보를 빼앗습니다. 관련 스미싱 종류로는 연말정산 모바일 앱 사칭, 누락된 국세청 연말정산 환급금 결과 조회 사칭, 연말정산세금 절약 노하우 사칭 등의 스미싱 공격이 있습니다결론스미싱 피해는 자신 뿐만 아니라 자신의 주소록에 있는 사람들에게 까지 2차적인 피해를 입힐 수 있기 때문에 주의하여야 합니다. 전화 목소리를 통해 접근하는 보이스 피싱과는 달리 스미싱은 문자로만 진행되는 사기 수법이고, 피해자의 방심과 무지에서 비롯되어 공격에 대비하기 위해서는 일상에서도 의심을 가지고 메시지를 처리하고 수신자의 보안 의식 수준을 높이는 꾸준한 교육과 훈련이 필요합니다. 스미싱으로부터 보호하는 방법• 출처가 불명확한 URL 또는 전화번호를 클릭하지 않습니다.• 앱 다운로드는 링크로 받지 않고, 출처를 알 수 없는 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화 합니다.• 백신프로그램을 설치하여 업데이트 및 실시간 감시 상태를 유지합니다.• 개인정보 및 금융정보를 요구하는 경우, 입력하거나 알려주지 않습니다.• 상대방이 개인 및 금융정보, 금전, 앱 설치 요구 시 반드시 전화와 영상통화 등으로 상대방을 정확히 확인합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
KimsukyKimsuky는 북한 정부의 지원을 받는 해커 그룹으로 알려졌으며 2013년부터 활동해왔습니다. 주로 국방, 방산, 언론, 외교, 국가기관 등을 대상으로 스피어 피싱 공격을 가하며, 조직 내부의 정보와 기술을 훔치는 것을 목표로 합니다. 초기에는 남한의 북한 관련 연구소를 공격하였고 후에는 해외 국가를 대상으로도 공격을 하는 모습이 관찰 되었습니다.AppleSeedAppleSeed는 Kimsuky가 운영하는 핵심인 원격 시스템 제어를 용이하게 하는 백도어 악성코드 입니다, AppleSeed의 유포는 2021년부터 시작되었으며, C&C 서버에서 수신한 명령을 실행하여 키로깅, 스크린샷, 사용자 시스템에서 파일을 수집하여 전송해 정보를 탈취하는 등 여러 기능을 제공합니다.AlphaSeedKimsuky의 새로운 악성코드인 AlphaSeed는 명령 실행, 정보 탈취 등 AppleSeed와 유사한 기능을 가졌습니다. 기존 AppleSeed 악성 코드의 Go 언어 버전으로 추정이되며,해당 악성코드 안의 경로 명인 E:/Go_Project/src/alpha/naver_crawl_spy/라는 경로에 alpha가 포함되어 있다는 점에서 AlphaSeed라고 명명했습니다.AlphaSeed 실행 프로세스Cookie값과 ChromeDP를 이용한 메일 통신 프로세스AlphaSeed의 실행 및 통신 프로세스regsvr32,exe를 통해 악성코드가 실행이되며, %USERPROFILE%\ 경로에 작업 디렉토리.edge를 생성하고 powermgmt.dat 파일로 자기자신을 복사, regsvr32.exe로 로드합니다. 이후 재부팅 후에도 자동으로 악성코드가 실행이 될 수 있도록 MS_SecSvc라는 이름으로 레지스트리에 등록을 합니다. 자가삭제 기능을 수행하기 위해 BAT파일을 생성하는데, 원본 DLL 파일을 삭제하는 BAT파일 과, 이 BAT파일을 삭제하는 BAT파일, 총 2개의 BAT파일을 생성합니다. 실행된 원본 파일이 powermgmt.dat인지 확인하고, 아닐 경우에는 regsvr32.exe를 통해 로드 후 종료합니다.AlphaSeed는 로그인에 필요한 아이디와 패스워드 대신, Cookie값을 이용하여 로그인 합니다. 로그인에 성공하면 메일 서비스의 내게 쓴 메일함에 접근하여 정보 탈취 및 명령 전달을 수행합니다. 메일과 상호작용을 수행하기 위해 패킷 통신이 아닌, Chromedp를 이용하여 스크립트를 실행하는 방식을 사용합니다.암호화 복호화 프로세스AlphaSeed의 암호화, 복호화 알고리즘과 주요 기능 탈취한 파일에 대해 암호화를 수행하거나, 공격자 메일로 부터 받은 명령을 복호화 할때 RC4 RSA 알고리즘이 사용됩니다. 악성코드는 랜덤한 RC4 Key를 생성하고, 내부에 존재하는 ParsePKC1Publickey함수를 통해 암호화를 위한 Public Key를 생성합니다. 다음으로 Public Key를 통해 RC4 Key를 암호화합니다. 공격자 메일로부터 받은 명령 또한 암호화 되어있는데, 이 데이터는 악성코드 내부에 별도로 존재하는 Private Key를 통해 RSA를 복호화하여 RC4 Key를 획득하고, 이후 획득한 RC4 Key로 데이터를 복호화 합니다. 감염된 시스템의 정보를 탈취하기 위해서 키로깅, 스크린샷, 재시작과 같은 기능을 수행할 수 있는데, 이는 GoRoutine을 통해 함수를 호출하여 수행할 수 있습니다. goKeylog 함수에서는 감염된 시스템에 입력되는 키 입력 데이터를 작업 디렉토리 하위에 cache_w.db 파일로 저장하고 파일을 암호화한 뒤, 네이버 메일을 통해 전송합니다. goSshot에서는 감염된 시스템의 현재 데스크탑 화면을 캡쳐하여 파일로 저장합니다. rtRestrart 함수는 프로세스 재시작을 수행합니다.결론Go언어를 통해 악성코드를 업데이트하고 있는 Kimsuky의 위협은 사이버 보안의 중요성과 경계심을 강조하며, Kimsuky의 적응과 발전은 이에 대한 방어도 마찬가지라는 것을 보여줍니다.AplphaSeed에 대한 보안 권장 사항피싱 이메일과 악성 첨부 파일을 인식 할 수 있도록 직원을 정기적으로 교육하여 스피어 피싱 이메일의 위험에 대해 사용자를 교육하는 것이 중요합니다.알려진 취약점이 패치되도록 모든 소프트웨어를 정기적으로 업데이트하여 Kimsuky가 무단 액세스를 얻을 경로를 줄이고, 맬웨어 및 기타 악의적인 활동을 탐지 하고 차단할 수 있는 강력한 보안 소프트웨어를 사용하여 네트워크와 시스템을 모니터링 합니다.다른 조직 및 정부 기관과 협력하여 방어를 위한 위협 및 모범 사례에 대한 정보를 공유하고, 침해 발생 시 사고에 대응하기 위한 계획을 마련하여 보안사고에 대응합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[시행 2024.1.2.] [기획재정부공고 제2023-241 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-244 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-245 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-243 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-242 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
SuperBear 트로이목마 2023년 8월 28일 한국의 시민 단체를 표적으로 한 새로운 피싱 공격이 발견되었습니다. 이 공격은 이전에 볼 수 없었던 원격 엑세스 트로이 목마인 RAT 공격으로, 초기 공격의 시작은 시민 단체 직원을 사칭한 이메일 주소로부터 악성 LNK파일을 받으면서 시작이 됩니다. LNK 파일이 실행되면 파워셸 명령을 실행하여 비주얼 베이직 스크립트를 실행하고, 이 스크립트는 손상된 워드프레스 웹사이트로부터 추가 페이로드를 가져와서 궁극적으로 SuperBear RAT를 배포합니다. 여기에는 Autoit3.exe바이너리 solmir.pdf와 AutoIt스크립트 solmir_1.pdb 가 포함이 됩니다. SuperBear RAT는 프로세스 할로잉 기법을 통한 프로세스 주입을 비롯해 다양한 악성 행동을 보입니다. 이 악성 코드는 Explorer.exe의 일시 중단된 인스턴스에 악성 코드를 삽입하는 프로세스 할로잉 기법을 사용하여 프로세스 익젝션을 수행합니다. 활성화되면 SuperBear는 원격 서버와 통신을 설정하여 데이터 유출, 셸 명령 실행, 동적 링크 라이브러리 다운로드를 가능하게 하고, C2 서버의 기본 동작이 클라이언트에 시스템 데이터를 유출하고 처리하도록 지시하는 것으로 보입니다. 악성 코드의 이름이 SuperBear로 붙여진 이유는 악성 동적 링크 라이브러리가 임의의 파일 이름을 생성하려고 시도하고 실패할 경우 SuperBear로 이름이 설정된다는 사실에서 유래되었습니다. 이 공격의 배후가 확실하게 밝혀지지는 않았지만, 초기 공격 벡터와 파워셸 명령어의 유사성을 근거로 북한 국가 공격자들 중 APT43 또는 에메랄드 슬릿이라고 알려진 킴수키 그룹이 배후로 지목되고 있습니다.숨겨진 창에서 실행되는 PowerShell명령 ( 출처 : interlab )사용자 프로필 디렉터리에 저장되는 VBS 스크립트( 출처 : interlab )암호화를 해제한 결과( 출처 : interlab )SuperBear 트로이목마의 공격방법 LNK 파일이 실행되고 명령 줄 인수가 호출되어 정상적인 문서와 함께 숨겨진 PowerShell 창이 생성됩니다. 행위자는 일반적인 난독처리 기술을 사용하여 PowerShell을 로드하고 명령을 실행합니다. 그런 다음 PowerShell 명령이 숨겨진 창에서 실행됩니다. HEX 값을 디코딩된 값인 ASCII로 변환한 다음 사용자 프로필 디렉터리에 스크립 트가 포함된 VBS를 저장합니다. 이 VBS 스크립트는 파일 기반 탐지 서명을 피하기 위해 각 명령에 su를 추가했습니다. 이 명령은 도메인에서 두개의 페이로드를 가져오는데, 암호화가 해제된 결과에서 AutoIT3 실행파일이 Autoit3로 이름이 변경되었고, solmir_1.pdb와 MTdYFp.au3등 이름이 변경된 것으로 보여져 페이로드를 전달하는 웹사이트가 정상적인 웹사이트가 아닌 손상된 웹사이트라는 것을 알 수 있습니다. 실행 파일과 컴파일된 스크립트가 다운로드 되면 컴파일된 스크립트의 매개변수로 AutoIT3가 실행되고, 프로세스 삽입 작업을 수행합니다.데이터 반출 과정( 출처 : 0x0v1 )SuperBear 트로이목마의 공격방법 AutoIT 스크립트는 기본 Windows API 호출을 호출하여 일반적인 프로세스 할 로잉 작업을 수행합니다. 먼저 CreateProcess를 호출하여 프로세스 일시중단 플래그가 포함된 Explorer.exe 인스턴스를 생성합니다. SuperBear는 IP 주소가 89.117.139.230이고 도메인이 hironchk.com인 C2 서버에 대한 연결을 설정합니다. RAT는 3가지 기본 공격인 프로세스 및 시스템 데이터 유출, 셀 명령 다운로드 및 실행, DLL 다운로드 및 실행 작업 중 하나를 수행합니다. C2 서버의 기본 작업은 클라이언트에 시스템 데이터를 반출하고 처리하도록 지시하는 것으로, 데이터를 반출할 때 RAT는 CreateToolhelp32Snapshot을 사용하여 실행 중인 프로세스의 스냅샷을 만들어 C:\Users\Public\Documents\proc.db에 있는 파일에 저장합니다. 그런 다음 SystemInfo 명령을 실행하여 C:\Users\Public \Documents\sys.db에 있는 파일에 저장합니다. 이러한 각 텍스트 파일은 URI \upload\upload.php에 있는 C2에 업로드 됩니다.악성 DLL은 임의의 파일 이름을 만들려고 시도하고 만들 수 없는 경우 SuperBear로 이름이 변경됩니다.결론SuperBear는 시민단체에 대한 고도로 표적화된 공격에 사용되는 것으로 확인이 되었습니다. 피해자들은 기존 조직의 구성원을 사칭하는 이메일을 받았고, 첨부파일을 열면 해당 조직과 관련된 피싱 문서가 나왔습니다. 다른 공격에서도 계속 표적 스팸 메일을 사용할지 아니면 다른 배포 방법을 사용할지는 알 수 없으나, 소셜 엔지니어링을 통한 피싱은 멀웨어 확산에 널리 사용되기 때문에 주의를 해야합니다.SuperBear의 공격을 방지하는 방법사용자는 인터넷을 통해 받은 의심스러운 애플리케이션 및 첨부 파일을 다운로드하지 말고 소셜 엔지니어링 및 피싱 공격에 주의해야 합 니다. 사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를 따라가지 않아야 합니다. 모든 시스템, 모바일 디바이스 및 서버에서 AV 시그니처, 운영 체제 및 타사 애플리케이션을 최신 상태로 유지합니다. 사용자는 정기적으로 백업을 수행하고 해당 백업을 오프라인 또는 별도의 네트워크에 보관해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 27명 참여