통합검색
'' 검색결과는 총 133 건 입니다.
NoName057(16)의 텔레그램 프로필 (출처: SOCRadar)KISA의 보안강화 권고 (출처: KISA 보호나라 & KrCERT/CC)NoName057(16)NoName057(16)은 2022년 3월부터 활동하기 시작한 러시아의 핵티비스트 그룹입니다. 이들의 주 목적은 반러시아적 행보를 보이는 대상에 DDoS 공격 을 수행하는 것으로 지난 11월 4일 친러시아 성향의 핵티비스트들인 Cyber Army of Russia Reborn, Alixsec과 함께 국내 주요 정부 기관 웹사이트를 대상으로 DDoS 공격을 수행했다고 주장하였습니다.이들이 밝힌 공격 대상은 국방부와 환경부, 국가정보자원관리원, 한국도로교 통공단, 서울교통공사, 서울시, 인천시 등 자치단체와 정부부처, 공공기관까지 열 곳이 넘으며, 이중 일부는 홈페이지 접속이 일시적으로 불안정해지는 등의 피해를 입은 곳도 있습니다.공격이 있기 전 KISA는 러시아-우크라이나 전쟁 등 국제 정세의 변화로 랜섬 웨어와 DDoS 등의 공격을 예방하기 위한 보안강화를 권고하기도 하였습니다.NoName057(16)의 공격 흐름도NoName057(16)의 공격 방식NoName057(16)은 텔레그램에서 활동하며 수만 명의 많은 구독자를 보유하 고 있는데, 소셜 미디어를 적극적으로 활용해 본인들의 활동을 알리고 공격 목 표와 진행 상황들을 실시간으로 공유하고 있습니다. 또한, 이들은 DDoSia와 같은 자동화된 DDoS Bot을 활용하고 있는데 이 Bot을 이용한다면 개인 사용 자들도 공격에 참여 할 수 있어 이들은 텔레그램을 통해 일반 사용자들까지 공 격에 동참하도록 장려하고 있습니다.일반 사용자가 NoName057(16)의 텔레그램 채널에서 DDoSia를 다운로드 받고 client_id.txt를 동일한 경로에 두고 실행하는 방식으로 동작합니다. DDoSia가 실행되면 인증과정을 거친 후 공격 대상 목록을 전달받고 공격을 수행하게 됩니다.결론친러시아 성향 핵티비스트 그룹 NoName057(16)이 지난 11월 4일부터 우리나라의 주요 정부 기관을 공격했으며, 몇몇은 일시적인 접속 장애를 겪었습니다. 이들은 텔레그램을 통해서 자동화된 DDoS 공격 툴인 DDoSia와 같은 DDoSBot을 공유하며, 공격을 홍보 하고 일반 사용자들도 공격에 동참하도록 장려했고, 공격에 동참한 일반 사용자들에게 공격 대상 사이트들을 명령어로 전달해 공격을 수행합니다.DDoS에 대한 보안 권장 사항• 일반적이지 않은 네트워크 통신량 제한 등 • DDoS 방어서비스 이용 • DDoS 등 사이버 공격 대비 홈페이지 및 주요 시스템에 대한 모니터링 및 보안 강화 • 네트워크 서비스 장애 대비 중요 파일 및 문서 등 네트워크와 분리된 정기적인 오프라인 백업 권고이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Discord의 홈페이지 메인 화면Discord의 봇 개발 페이지디스코드와 디스코드 봇Discord는 실시간 음성 채팅이나 영상 텍스트 채팅 등을 지원하는 소셜 플랫폼 으로 주로 게이머들 사이에서 함께 게임을 하기 위해 사용되어 왔으나 최근에는 같은 취미를 가진 사람들의 소셜 플랫폼이나 중고물품 거래에도 사용되며, 심지 어는 소형 개발사의 메신저로서 사용되기도 하는 등 다양한 분야에서 다양한 방 식으로 활용되고 있는 소셜 플랫폼이 되었습니다. Discord에서 사용되는 봇은 서버의 관리, 편의나 오락 등 여러 기능을 제공 할 수 있도록 만든 툴로 음악 재생 및 노래방 모드 등을 제공해 주는 노래봇, 글자 를 전자 음성으로 읽어 주는 tts 봇, 대화 및 끝말잇기 등의 게임 기능을 제공하 는 게임 봇, 번역기, 사전 검색 등 다양한 기능을 가진 봇들이 존재합니다.그리고 이런 다양한 기능을 가진 Discord 봇 활용한 악성 행위들 또한 있습니다.PySilon의 기능들(출처 : PySilon Github)PySilon PySilon은 전체 소스코드가 2022년 12월 초에 Github에 공개된 RAT으로 Discord로 구현된 멀웨어 입니다. 공격자는 PySilon의 Github에서 PySilon.bat 파일을 다운받아 실행해 PySilon 빌더로 각종 정보들을 설정해주면 PyInstaller를 통해 실행 파일이 만들어 지게 됩니다. 이를 피해자가 실행하게 되면, 공격자가 디스코드 봇을 통 해 명령을 전달할 수 있게 되고, 이를 통해 피해자의 시스템에 각종 악성 행위 를 할 수 있게 됩니다. PySilon는 지속성 유지를 위해 피해자의 사용자 폴더에 자가 복제를 하고 레지 스트리를 이용해 PC가 시작 될때 마다 계속 실행하며 시스템에 상주하면서 공 격자에게 키로거, 저장된 비밀번호 캡처, 브라우저 기록 수집, 쿠키 수집, Wifi 비밀번호 추출, 시스템의 화면 녹화, 마이크 녹음 등의 기능을 제공합니다.결론PySilon은 Discord bot을 활용한 멀웨어 입니다. 키로거, 비밀번호 수집, 화면 녹화 및 음성 녹음 등의 공격을 보다 간편하게 수행할 수 있게 해줍니다. PySilon은 Github와 같은 플랫폼에서 제공되는 오픈소스 코드 멀웨어로 무료로 받을 수 있으며, 최초 개발자의 지 속적인 개선과 새로운 기능이 지속해서 추가 되고, 소스코드가 오픈 되어 있어 쉽게 수정해 멀웨어를 직접 제작할 수 있어 공격자에게 매력적인 공격 수단이 될 수 있는 위험한 멀웨어 입니다.PySilon과 같은 RAT 멀웨어에 대한 방지 방안•초기 감염은 피싱 사이트나 무료 소프트웨어 다운로드 사이트 등에서 유포된 악성 파일에 의해 발생함으로 평판이 좋고 안전한 출 처에서만 소프트웨어 및 애플리케이션을 설치하여야 합니다.•검증 받은 백신프로그램을 설치 및 최신 업데이트를 하여 악성 프로그램의 설치를 탐지하고 제거 할 수 있도록 하여야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Grafana 소개Grafana 접속 화면Grafana 취약점 노출Grafana는 통합된 차트와 그래프를 여러 대시보드에 나타내 사용자가 데이터를 더욱 쉽게 해석하고 이해하는 데 도움을 주는 오픈소스 인터랙티브 데이터 시각화 플랫폼입 니다. 2024년 10월 18일에 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템 에 원격 명령을 실행하거나 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.9라는 위험도 높은 점수를 부여 받았습니다. Viewer 이상의 권한이 있는 모든 사용자는 서버 에 임의적인 명령을 실행하거나 특정 파일 내용을 확인하는 등 취약점을 악용하여 정보 를 탈취할 수 있습니다.Grafana v11.x 버전이 설치된 환경에서 DuckDB가 환경 변수를 통해 접근이 가능한 경우 취약점 공격 대상입니다. 최근 버전부터 취약점을 유발하는 기능이 포함되어있으 며, DuckDB 설치라는 전제 조건이 존재하기 때문에 실제 취약점에 노출된 서버는 많 지 않을 것으로 예상되지만, 원격 명령 실행 및 파일 탈취가 가능하며 PoC 코드가 공개 되어 있기에 공격 가능성에 대한 주의가 필요합니다.국내 Grafana 서버 취약점 노출 현황(출처: ASEC)국내 Grafana 서버 현황국내에서 운용 중인 Grafana 서버가 2285개이며, 이 중 2168개 서버 정보가 확인되었습니다. 취약점 대상 버전 및 이하 버전을 사용 중인 서 버는 2147개(99%)로, 장기간 최신 업데이트를 진행하지 않고 운용 중 인 것으로 나타났습니다. CVE-2024-9264 취약점 대상 버전인 v11.x 를 사용 중인 서버는 674개(31%)로 확인되었습니다. 국내 기업 상당수 가 Grafana 서버를 운용하고 있으며 대학교와 대학원에서도 다수 확인 되었습니다.CVE-2024-9264 취약점CVE-2024-9264는 Grafana의 SQL 표현식 기능에 존재하는 DuckDB SQL 취약점입니다. 인증된 모든 사용자는 Grafana 대시 보드에서 표현식을 수정하여 임의의 DuckDB SQL 쿼리를 실행할 수 있습니다.Grafana v11.0.0 버전부터 제공된 SQL 표현식을 실행할 수 있는 기능에서 SQL 쿼리를 적절히 필터링하지 않아 DuckDB CLI에 사용자 입력 데이터가 포함된 명령이 전달되며, 명령에 대한 실행 결과를 얻을 수 있습니다. read_text, read_csv 등 SQL 쿼리를 통 해 로컬 파일의 내용을 읽어 공격자가 시스템의 중요 파일들을 읽을 수 있습니다. 또한 시스템에 원하는 내용의 파일을 생성하여 쉘 명령을 작성하고 파일을 읽어 임의 명령을 실행하는 방식 등을 통해 지속적인 정보 탈취가 이루어질 수 있습니다. 이 취약점은 매우 심각하지만, 악용 가능 여부에 대해서는 DuckDB 바이너리가 Grafana 서버에 설치되어 있는지에 따라 달라집니다. 이 취약점을 악용하기 위해서는 Grafana 서버 $PATH에 DuckDB가 설치되어 있어야 합니다. DuckDB가 없으면 SQL 주입 취약점 을 악용할 수 없습니다.결론CVE-2024-9264 취약점은 임의 명령이 실행되거나 중요한 파일이 유출될 수 있어 큰 피해가 발생할 것으로 예상됩니다. 취약한 버전을 가진 Grafana 서버 운용 시 공격 대상이 될 수 있으므로 지속적인 관심을 가지고 최신 패치 버전을 다운로드하여 관리하고 예방하여야 합니다. 이번 사례를 통해 앞으로도 지속적인 보안 업데이트와 취약점 모니터링의 중요성을 인식하고, 사용 중인 모든 서비스를 항상 최신 버전으로 관리 및 유지하는 것이 중요합니다.대응방안 • 패치된 최신 버전 다운로드 (GrafanaLabs) - 11.0.5+security-01,11.1.6+security-01,11.2.1+security-01 - 11.0.6+security-01,11.1.7+security-01,11.2.2+security-01• DuckDB 제거 - DuckDB 실행파일을 제거하거나 환경 변수 경로에서 제외• SQL Expressions기능 비활성화이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
확인된 취약 Jenkins 서버 예시 (출처: ASEC)국내 Jenkins 서버 취약점 노출 현황국내 Jenkins 서버 대다수 취약점 노출올해 초 공개된 CVE-2024-23897 취약점은 인증되지 않은 사용자가 Jenkins 서버 시스템의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.8의 위험도가 매우 높은 취약점입니다. 최근 해당 취약점이 실제 공격에 악용되고 있다는 보고가 있으며, 해외 언론에서는 특정 기업이 해당 취약점을 악용한 공격으로 피해를 입었다고 합니다. 해당 취약점으로 대상 버전의 모든 Jenkins 서버에 공격이 가능할 것으로 파악됩니다.최근 공개된 CVE-2024-43044 취약점 또한 기본 라이브러리의 특정 기능을 악용하 여 Agent 접근 권한을 가진 공격자가 서버의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 8.8의 위험도가 높은 취약점입니다.두 취약점 모두 PoC 코드가 GitHub, 블로그 등지에 공개되어 쉽게 찾을 수 있어 언제 든 공격에 악용될 수 있으므로 주의해야 합니다파일 일부를 읽을 수 있는 명령어 사용 예시※ 별다른 설정을 하지 않은 환경인 기본 권한 상태에서는 취약점으로 탈취 가능한 파일 내용이 일부 라인 으로 제한되나, SSH Key, Jenkins 암호화 키 등의 라인 구분이 없는 주요 파일은 전체 내용을 출력할 수 있습니다.CVE-2024-23897이 취약점은 Jenkins-CLI 툴을 통해 원격지에서 명령어와 인자를 전달받아 CLI 명령을 분석하는 과정에서 발생합니다. 명령 분석에 사용하는 Args4j 라이브러리에 ‘@’ 식별자 이후 문자열 경로의 파일을 읽어 인자로 설정하는 기능(expandAtFiles)이 있습니다. 명령에 대한 유효한 인자가 아닌 경우 에러가 발생하는데, 이 에러 메시지에 인자로 사용했던 문자열, 즉 파일 내용이 노출되는 취약점입니다.파일 전체를 읽을 수 있는 명령어 사용 예시※ 특정 설정 환경 - 익명 연결 기능을 사용한 경우- 모든 사용자에 읽기 권한을 부여했을 경우- 사용자 가입을 허용했을 경우- Lagacy 모드를 사용할 경우분석 결과, 취약점에 활용 가능한 에러 메시지를 출력하는 명령어는 일부 라인을 읽을 수 있는 명령어와 전체 라인을 읽을 수 있는 명령어로 나뉩니다. 인자를 사용 하지 않거나 제한된 개수의 인자를 사용하는 명령어의 경우 파일의 특정 라인을 읽 을 수 있는 반면, 인자 개수 제한이 없는 명령어의 경우 파일 라인 전체를 읽을 수 있습니다. 또한 권한에 따라 사용 가능한 명령어가 제한되는데, 모든 라인을 읽을 수 있는 명령어는 특정 설정 환경에서만 동작됩니다.해당 경로가 디렉토리일 경우 디렉토리 내부 파일 목록해당 경로가 파일일 경우 파일 내용CVE-2024-43044Jenkins 설치 시 기본으로 설치되는 Remoting 라이브러리에 대한 취약점입니다. 라 이브러리 자체는 기본으로 설치되지만, Jenkins에 Agent가 등록되어 있고 공격자가 Agent 접근 권한을 가질 경우 취약점을 사용할 수 있습니다.해당 라이브러리는 Jenkins 서버와 Agent의 통신 기능을 구현하며, Agent가 서버에 요청한 JAVA 클래스를 실행할 수 있는 기능을 포함합니다. 서버 URL의 JAR 파일을 실행하는 목적으로 구현된 것으로 파악되지만, 파일 경로 및 타입을 검사하지 않기 때 문에 서버 시스템의 임의 파일을 읽어 Agent로 전송할 수 있습니다. 이 취약점을 통해 디렉토리 리스팅 및 임의 파일 읽기가 가능합니다.분석 결과 RemoteClassLoader 클래스의 특정 메소드에 코드를 추가하는 것으로 취 약점을 구현할 수 있습니다. 파일 경로가 디렉토리일 경우 디렉토리 리스트를 응답하며, 파일일 경우 파일 내용 전체를 응답합니다.결론CVE-2024-23897은 공개된 사이트에 다수의 PoC 코드가 존재하며, PoC 코드가 아니더라도 Jenkins 패키지에 기본으로 포함 된 CLI 접속 도구로 취약점 구현이 가능하기 때문에 누구든지 즉시 공격이 가능합니다. 해당 취약점의 대상 버전 사용자는 확인 즉 시 완화 버전으로 패치할 것을 권고하고 있습니다.CVE-2024-43044도 마찬가지로 위험도 높은 취약점으로 설명되고 있으며, 제조사에서는 즉시 업데이트가 어려울 경우를 위해 문제가 되는 fetchJar 메소드 자체를 사용하지 못하도록 패치하는 프로그램을 제공하고 있습니다.두 취약점은 구현 난이도가 낮고 서버의 중요한 파일 내용이 유출될 수 있으므로 악용될 경우 큰 피해가 예상됩니다. 취약한 버전으 로 지속 운영 시 공격 대상으로 노출될 수 있으므로, 피해 예방을 위하여 즉시 최신 패치를 적용해야 합니다.해당 사례 외에도 공격자는 여러 유명 제품의 알려진 취약점을 악용하여 공격을 시도합니다. 사용 중인 서비스를 항상 최신 버전으 로 유지해야 하며 각종 보안 설정을 통해 공격자의 취약점 스캐닝 및 공격을 방어해야 합니다. 또한 국내외 보안 권고를 상시 확인 하여 대상 서비스를 운용 중인 경우 신속한 조치와 함께 피해 여부를 점검해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Kaspersky의 TDSSKiller를 악용하는 Ransomhub
RansomHUB의 유출 사이트내 소개 페이지Kaspersky의 TDSSKiller 소개RansomHUB와 TDSSKillerRansomHUB는 다양한 국적의 해커들로 이루어진 랜섬웨어 공격 그룹입니다. 이들은 자신들의 홈페이지에서 특정 국가와 비영리 단체에 대한 공격을 금지한 다고 명시하고 있으며, 특히 CIS, 쿠바, 북한, 중국을 표적으로 삼지 않겠다고 명시했습니다. 글로벌 해커라는 그들의 주장과는 다르게 전통적인 러시아 랜섬웨어 공격 조직과 유사한 모습을 보입니다.Kaspersky는 표준 보안 도구를 우회를 할 수 있으며, 탐지하기 어려운 두가지 멀웨어인 루트킷과 부트킷을 시스템에서 탐지할 수 있는 도구로 TDSSKiller를 만들었습니다. RansomHUB 그룹은 오히려 Kaspersky의 TDSSKiller를 사용하여 대상 시스템을 공격해 엔드포인트 탐지 및 대응(EDR) 서비스를 비활성화하려고 시도하고 있습니다.TDSSKiller에서 지원하는 명령 매개변수 (출처: Malwarebytes)RansomHUB의 공격 흐름RansomHub는 TDSSKiller를 악용하여 컴퓨터에서 실행 중인 안티 악성소프트웨어 서비스를 비활성화하는 스크립트 및 배치 파일을 사용해 서버의 커널에 접근을 시도합니다. RansomHub는 TDSSKiller를 사용해 동적으로 생성된 이름의 파일을 임시 디렉토리에서 실행하여 스캐닝을하고, 권한 획득에 사용합니다.TDSSKiller는 유효한 인증서로 서명된 합법적인 도구로 인식되어 보안 솔루션이 TDSSKiller를 악용한 RansomHub의 공격을 탐지하거나 차단할 수 없게 됩니다.공격에 성공한 다음 RansomHub는 LaZagne 도구를 사용하여 데이터베이스에 저장된 크리덴셜을 추출하려고 시도합니다. 이들은 크리덴셜을 탈취한 후 시스템을 조작합니다. 그 후 해당 로그를 삭제하여 자신들의 활동을 은폐하려 합니다.결론Kaspersky의 합법적인 도구인 TDSSKiller를 악용하는 공격조직 RansomHUB가 등장했습니다. 이들은 TDSSKiller를 악용해 인 프라 스캐닝을 진행하고, 커널에 접근하여 권한을 상승시킵니다. 공격에 성공한다면 LaZagne 도구를 사용해 크리덴셜을 탈취하고 접근 로그를 삭제해 흔적을 지우려 합니다. 이번 공격은 TDSSKiller를 악용했기에 시스템 상에서는 합법적인 도구로 판단, 탐지 및 차단이 어렵습니다.RansomHUB 에 대한 보안 권장 사항• TDSSKiller의 악용을 통해 EDR 솔루션을 비활성화 할 수 없도록 EDR 솔루션의 변조 방지 기능을 활성화• 서비스 비활성 화 및 삭제를 위한 매개변수 ‘-dcsvc’ 플래그 모니터링• TDSSKiller 자체의 실행 모니터링이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
악성 CrowdStrike 도메인 분석: 영향을 받는 대상과 향후 발생할 수 있는 문제
악성피싱사이트(출처: akamai.com)서론 2024년 7월 19일 금요일, 최근 CrowdStrike Falcon 콘텐츠 업데이트 이후 디바이스 대부분에서 블루스크린이 나타나는 현상으로 전 세계가 떠들썩했습니 다. 이 업데이트로 인해 WIndows 호스트에서 버그 검사가 트리거되어 전세계 적으로 BSOD(Blue Screens Of Death)가 발생했고, 여러 지역에서 수십억 건의 시스템 중단이 발생했습니다.전세계적으로 850만 대의 디바이스가 영향을 받은 이번 서비스 중단으로 항공, 정부, 헬스케어 같은 중요 서비스를 포함한 거의 모든 업계가 타격을 입었으며, 일부는 인시던트 발생 후 며칠이 지난 후에도 실제적인 영향을 미쳤습니다. 뉴스에 보도될 만한 사건의 경우 종종 그렇듯이, 공격자들은 업데이트로 인한 광범위한 혼돈과 혼란에 편승해 상황을 악용하려고 즉시 시도했습니다. 서비스 중단의 규모와 이를 둘러싼 뉴스의 보도 범위로 인해 당황한 많은 사용자가 어 디서든 답을 찾을 수 있는 정보를 찾게 되었습니다.CrowdStrike지원과관련이있다고주장하는상위악성 도메인현황악용하는 공격자전 세계 엣지 네트워크에서 수집한 데이터를 분석해 이 인시던트와 관련된 사기 에 가장 많이 사용된 악성 도메인을 확인했습니다. 이미 확인된 위협은 와이퍼, 스틸러, 원격 접속 툴(RAT) 등 여러 분야에 걸쳐 있습니다.이러한 상위 도메인의 시장 점유율은 거의 비슷했습니다. 이러한 도메인의 대부 분은 [.]com 최상위 도메인을 가지고 있으며, 이는 어디에나 있기 때문에 미묘 한 정상성을 가지고 있습니다. 여러 도메인에서 ‘bsod’ 및 ‘Microsoft’와 같은 일반적인 키워드가 발견되는데, 이러한 키워드는 지식에 굶주린 피해자가 정보 수집을 위해 자주 사용하느 부수적인 검색어입니다.업계별공격데이터분석모두가 잠재적 공격대상 공격 데이터 전반에 걸쳐 업계에 집중되어 있지 않은 것을 보면 이 인시던트의 광범위한 스펙트럼을 가장 잘 알 수 있습니다. 이 번 인시던트로 큰 피해를 입은 일부 업계, 특히 교육과 공공 부문은 사이버 공격의 표적이 되지 않는 경우가 많 다는 사실이 놀라웠습니다.비영리 및 교육:안타까운 표적첨단 기술과 금융 서비스가 제로데이 공격의 가장 큰 피해자가 되는 것은 익숙 한 일이지만 29% 이상을 차지하는 비영리 및 교육 부문과 공공 부문이 눈에 띕 니다. 이 업계는 문제 해결 측면에서도 큰 영향을 받습니다. 단일 캠퍼스의 학새 용 관리 디바이스 수는 교육기관의 규모에 따라 수천대에 달할 수 있기 때문입 니다.CrowdStrike 에 따른 악성 도메인 등장가짜 IT 서비스 • 이러한 종류의 사기 사이트는 빠른 복구를 도와줄 수 있는 IT 전문 인력인 것처럼 가장하고 목소리 톤도 마찬가지로 긴 박합니다. 이러한 긴급한 상황은 방문자가 개인정보를 제공하도록 유도할 수 있으며, 이는 피싱의 일반적인 특징입니 다. 피싱의 목표는 사용자 입력에서 직접 민감한 정보를 훔치는 것입니다. 가짜 솔루션 • 사람의 도움 없이 빠른 해결책을 찾고 있는 피해자를 위해 가짜 솔루션 캠페인이 있습니다. 이러한 캠페인은 클릭 한 번으로 다운로드할 수 있는 가짜 복구 스크립트나 실행 파일을 통해 빠른 해결책을 제공하는 데 중점을 둡니다.가짜 법률 지원• 모든 악성 캠페인이 기술적인 측면에만 초점을 맞춘 것은 아니며, 일부는 소송을 제기하기도 했습니다. 이러한 캠페인 은 CrowdStrike 중단과 관련된 법률 지원을 제공하는 것처럼 위장해 사용자의 개인정보를 수집하려고 시도했습니다.결론모든 디바이스가 수정되는 시점 이후에도 이 문제와 관련된 피싱 시도가 더 많이 발생할 가능성이 높습니다. 공격자는 소셜 미디어 를 간단히 스크롤하는 것만으로도 어떤 브랜드가 가장 사람들의 감정을 자극하고 어떤 브랜드가 악의적인 이득을 위해 사칭하기에 적합한지 파악할 수 있습니다.이것이 바로 공격자가 하는 일이며, 이를 기억하는 것이 중요합니다.기업을 위한 지침• 측면 이동 간극 분석 또는 공격자 에뮬레이션을 수행하세요. 금전적 이득 을 노리는 공격자는 랜섬웨어를 환경에 유포할 기회를 더 많이 찾을 것입 니다. 악용할 CVE는 아니지만 보안 스택의 중요한 부분을 알고 있는 공 격자로부터 잠재적인 기술적 영향을 받을 수 있습니다.• 알려진 IOC와 관련 IOC를 차단하세요. 이 캠페인과 관련된 알려진 IOC 에 대한 신뢰할 수 있는 정보 출처는 여러 가지가 있습니다. 이 목록이 자 체 리스크 관리 분석과 일치하는 경우 해당 도메인을 완전히 차단하거나 DNS 싱크홀을 통해 악성 도메인과의 통신을 차단하세요.개인을 위한 지침• 도메인의 인증서 및 발급자를 확인• 민감한 정보를 요청하는 도메인은 불법 도메인일 가능성이 높으므로 주의• 오직 CrowdStrike에서직접 제공하는 복구 정보만 따르기• 문제를 해결할 수 있다고 주장하는 이메일 첨부 파일을 열지 말 것 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Apache OFBiz의 로고NVD(국가 취약점 데이터베이스)에 등록된 CVE-2024-38856Apache OFBiz 에서 발견된 CVE-2024-38856최근 Apache OFBiz에서 초고위험도 취약점인 CVE-2024-38856이 발견 되었습니다. 이 취약점은 18.12.14 까지의 버전들에서 발견 할 수 있으며, OFBiz를 사용하는 사용자라면 주의가 필요합니다.Apache OFBiz는 Apache 재단에서 서비스 하고 있는 무료 오픈 소스 ERP 소프트웨어 입니다. ERP란 재무, 인사 관리, 제조, 공급망, 서비스, 조달 등 비 즈니스의 여러 문을 자동화 할 수 있도록 지원해 운영 효율성을 높여주는 소프 트웨어 시스템입니다. 특히 Apache OFBiz는 기업에서 무료로 사용할 수 있 으며, 소스코드를 임의로 수정 할 수 있다는 이유로 다양한 기업 등에서 사용 중이기에 해당 취약점이 더 큰 영향을 끼칠 수 있습니다.취약점 공격 시연 영상 (출처: 보안블로그 SonicWall)Apache 재단에서 공개한 해결 방안(출처: Apache 재단 github)CVE-2024-38856 취약점의 공격 흐름CVE-2024-38856 취약점은 SonicWall 연구원들에 의해 발견된 취약점으 로 CVSS 9.8점을 기록한 높은 위험도를 가진 취약점으로 원격 코드 실행 (RCE)을 가능하게 하는 취약점 입니다. 이 취약점은 이전에 알려진 CVE2024-36104 취약점을 우회할 수 있는 방법으로 보고된 적이 있습니다.CVE-2024-38856 은 아파치 프로그래밍 언어인 그루브(Groovy)의 실행 코 드에 있는 버그를 악용하여 공격이 이루어집니다. 공격자가 변수 조작을 통해 잘못된 값들을 초기화 변수로 삽입해 버그를 발생시킵니다. 이 버그로 인해 공 격자는 사용자의 추가적인 인증 없이도 중요한 엔드포인트에 접근할 수 있는 오버라이드 뷰 기능을 조작할 수 있게 되고, 시스템의 기본 보안 설정을 우회, 원래는 접근할 수 없는 데이터를 보거나 조작할 수 있게 됩니다. 결론Apache OFBiz에서 CVSS 9.8점을 기록한 초고위험도 취약점인 CVE-2024-38856이 발견됐습니다. 개념 증명용 코드인 POC가 공개되어 공격자들이 해당 취약점을 악용할 가능성이 높기 때문에 OFBiz를 사용하고 있는 사용자라면 주의가 필요합니다. CVE-2024-38856은 원격 코드 실행이 가능한 취약점으로 공격에 성공한다면 민감한 데이터에 대한 무단 접근이 가능해지며, 비즈 니스 운영에 큰 악영향을 줄 수 있습니다. 더욱이 Apache OFBiz를 사용하는 기업이나 기관이 많은 만큼 각별한 주의를 요합니다.CVE-2024-38856에 대한 보안 권장 사항 • KISA의 업데이트 권고 - Apache OFBiz 18.12.15 까지의 구 버전 사용시 권한 검사 기능인 security.hasPermission()이 추가된 18.12.15 이상 버전으로 업데이트 필요 • CISA의 권고 - 업데이트가 어렵다면 취약한 엔드포인트 비활성화 고려 필요 - 네트워크에서 OFBiz 인스턴스를 분리하는 등의 조치 등 고려 필요이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
침해사고신고현황(출처: KISA 2024년상반기사이버위협동향보고서)유형별침해사고신고현황(출처: KISA 2024년 상반기사이버위협동향보고서)2024년 상반기 사이버 위협 동향 보고서한국인터넷진흥원에서 발표한 연도별 침해사고 신고 건수에 따르면 2024년 상반기 침해사고 신고 건수는 899건으로 2023년 상반기 대비 35% 증가하였습니다. 이는 Web shell 및 악성 URL 삽입, DDoS 공격 등이 크게 증가했기 때문입니다.2024년 상반기 유형별 침해사고 신고 통계를 보면 서버 해킹이 전년 상반기 대비 58%가 증가한 504건으로 가장 많이 증가했습니다. 이는 상대적으로 보안관리가 취약한 중소기업 등을 대상으로 홈페이지 웹 취약점을 악용한 Web shell 공격 등이 증가한 것으로 보입니다. 그 다음으로는 DDoS 공격이 153건으로 전년 상반기 대비 23% 증가했습니다.웹쉘공격의흐름도Web Shell 공격의 흐름도 • 파일 업로드 시도 파일 업로드 기능을 가진 피해자의 웹 페이지에 Web shell 파일 업로드 시도 • 피해 서버에 파일 저장 피해자 웹 페이지에 업로드 요청된 Web shell 파일이 업로드에 성공한다면, 서버에 해당 Web shell 파일이 저장 • 업로드 된 Web shell 파일에 접근 공격자는 서버에 업로드 된 Web shell 파일에 접근하여 공격명령어를전달 • 공격 수행 명령어를 전달 받은 Web shell 파일은 공격자가 유도하는 악의적인행위를 수행Web shell 공격으로 인한 피해 최근 웹 해킹에서 자주 사용되는 기법이 Web shell 공격입니다. 기본적인 Web shell 공격은 피해 웹사이트의 파일 업로드 기능을 악용 하여 수행됩니다. Web shell 이 서버에 상주하게 되면 서버의 모든 권한을 장악하고 그 이후 동일 네트워크의 다른 서버에 2차 공격을 가하거나 멀웨어를 업로드해 서버 상에 큰 피해를 입힐 수 있습니다.KISA의 2024년 상반기 사이버 위협 동향 보고서를 살펴 보면 전년 상반기 대비 가장 많이 증가한 공격이 바로 서버 해킹이었습니다. 이런 서버 해킹의 다수가 상대적으로 보안관리가 취약한 중소기업 등을 상대로 Web shell 을 사용한 웹취약점 공격 시도인 것으로 분석 되었습니다.Web shell 은 JSP, ASP, PHP등과 같은 스크립트로 작성 되어 있으며, 다양한 취약점 공격에 활용되고 있습니다. 지난4월엔 국내 기업의 ERP 서버가 MS-SQL 서비스를 공격 당해 Web shell 이 설치 되었고, 이후 Web shell 을 이용해지속성을 유지하며 감염 시스템들이 제어 되었으며, 감염 시스템을 VPN 서버로 활용한 정황까지 밝혀진바 있습니다.결론Web shell 공격은 Web shell 파일이 서버에 업로드 되면 서버의 모든 권한을 장악할 수 있고, 웹 서버 내 모든 자료를 열람할 수있을 뿐만 아니라 웹 페이지 변환, 추가 악성코드 업로드 등 치명적인 피해를 입힐 수 있습니다. 더 나아가 동일 네트워크의 모든 서버들 까지 위협하는 등 한번의 공격으로 끝나는 것이 아니라 2차, 3차 피해까지 발생할 수 있는 치명적인 위협입니다. 그렇기에Web shell 공격을 사전 예방에 서버를 보하는 것이 중요합니다.Web shell 공격 예방법• 홈페이지 중 파일 업로드가 불필요한 게시판은 업로드 기능을 완전히 제거, 파일 업로드가 필요한 게시판의 경우 파일의 확장자(asp, cgi, php, jsp 등의 확장자 차단) 검증을 수행해야 합니다.• 파일 업로드 폴더의 실행 제한이 필요합니다. 웹 서버 상에서 파일 업로드 폴더를 따로 만들고 해당 폴더에서 스크립트 파일 실행을 제한해 파일 업로드 폴더에선파일이 실행되지않도록 방지합니다.• SQL Injection 방지 또한 필요합니다. Web shell 은 파일 업로드 취약점 뿐만 아니라 SQL Injection을 이용한 공격도 가능하므로 DB 쿼리 관련된특수 문자들을 필터링 하도록 설정, 해당 특수 문자들이 입력 값에 포함되어 있으면 에러를 발생시켜 악의 쿼리가 실행되지 않도록 방지해 예방 할 수있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
PHP 그룹의 로고Gh0stRat 툴의 UI (출처: 트랜드마이크로)원격 코드 실행 취약점 CVE-2024-4577최근 PHP의 원격 코드 실행 취약점(CVE-2024-4577)이 공격자들에 의해활발히 활용되고 있습니다. PHP는 대표적인 서버 측 스크립트 언어이며, 전 세계 수 많은 웹 시스템의 기반이 되는 언어로 기본적으로 내장된 웹 관련 함수가 많아 웹 페이지 제작 시생산성이 높다는 장점이 있어 많이 사용되고 있는 언어입니다. CVE-2024-4577 취약점은 원격 코드 실행 취약점으로 공격에 성공할 경우원격 PHP 서버에서 임의의 코드를 실행할 수 있게 되는 취약점 입니다. 공격자들은 이 취약점을 활용해 각종 멀웨어를 유포시키고 있습니다. 유포 되고 있는 대표적인 멀웨어는 고스트랫(Gh0stRat) 원격 접근 툴과 레드테일(RedTail) 암호 화폐 채굴 툴 등이 있습니다.CVE-2024-4577 취약점 테스트NVD의 CVE-2024-4577에 관한 설명과 CVSS 점수CVE-2024-4577 분석PHP는 윈도우의 로케일 설정을 따르게 되며, 이에 따라 가장 유사한 다른 문자로 매핑하여 유니코드 문자를 지원하지 않는 시스템에서도 최대한 유사한 문자로 표현 할 수 있도록 인코딩 하는 기능인 Best-Fit Mapping을 사용해 인코딩을 하게 됩니다. 그리고 Best-Fit Mapping 기능이 유니코드 문자인 소프트 하이픈(“”, 0xAD)을 일반 문자인 하이픈(“ - ”, 0x2D)으로 인코딩하면서 CVE-2024-4577 취약점이 발생 했습니다. PHP의 CGI 핸들러는 일반 하이픈(“ - ”)은 필터링 하지만 소프트 하이픈 (“”)을 필터링 하지 않아 Best-Fit Mapping을 통해 변환된 하이픈(“ – “)으로 인자 삽입을 시도 할수 있게 되며, 이를 통해 원격 실행 공격을 시도 할 수 있게 됩니다.CVE-2024-4577은 해당 취약점을 통해 실제로 공격이 가능한지 보여주는시현 소스코드인 PoC가 공개되어 있으며, 공격 난이도도 낮아 실제 공격에 사용될 가능성이 높아 주의가 필요한 취약점입니다.결론최근 발견된 취약점 CVE-2024-4577를 다수의 공격자가 활발히 사용 중인 취약점 입니다. 이 취약점은 NIST에서 관리하는 국가취약점 데이터베이스(NVD)에서 CVSS 점수 9.8점을 받았을 정도로 심각한 위험으로 공격에 성공하게 된다면 원격 PHP 서버에서임의의 코드를 실행 할 수 있게 됩니다. 공격자들은 이 취약점을 통해서 고스트랫(Gh0stRat) 과 같은 원격 접속 툴이나 레드테일(RedTail)과 같은 암호 화폐 채굴 도구, XM리그라는 암호 화폐 멀웨어 등 각종 멀웨어를 설치해 다양한 손해를 입힐 수 있게 됩니다. 이 취약점은 이미 지난 6월 PHP 공식 그룹이 패치를 출시하였으며, 해당 취약점을 방지하기 위해 패치 하는 것이 권장됩니다.CVE-2024-4577에 대한 보안 권장 사항• KISA가 밝힌 영향을 받는 버전 • 8.3.8 이전 버전 침해사고 방지를 위해 8.3.8 버전으로 업데이트 권장 • 8.2.20 이전 버전 침해사고 방지를 위해 8.2.20 버전으로 업데이트 권장 • 8.1.29 이전 버전 침해사고 방지를 위해 8.1.29 버전으로 업데이트 권장 • 업데이트가 불가능한 경우, 윈도우용 XAMPP를 사용한다면 설정 파일에서 PHP CGI 디렉토리 노출 제거 • Rewrite 규칙을 사용하여 공격을 차단이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
중소기업 침해사고 피해지원서비스 동향 (2024년 1분기)
침해사고통계피해업체의관리자페이지(출처: KISA)2024년 1분기 침해사고 통계 침해사고통계 옆의 표는 침해사고 신고 중 중소기업 침해사고 피해지원서비스에서 기술지원했던 사고유형 Top 10 이다. 2024년 1분기 가장 많았던 사고유형은 해킹 경유지가 32.55%로 가장 높은 비중을 차지하고 있으며 문자 무단발송, 피싱, 랜섬웨어, 정보유출 순으로 나타났다.해킹 경유지는 침해사고를 분석하다 발견된 피해서버 내 웹쉘에 접근하거나 추가 피해서버로 확인된 서버를 말한다. 2024년 1분기 해킹 경유지가 많이 차지한 이유는 침해사고 분석 중 발견한 해킹 경유지가 많아 자체섭외된 피해기업이많기 때문이다.1분기 내내 높은 비중을 차지한 사고유형은 문자 무단발송이다. 문자 무단발송의 경우 2023년 12월 말 부터 꾸준하게 신고 및 기술지원한 사고유형이다. 문자 무단발송 침해사고의 경우 피해기업 홈페이지에 문자발송 시스템을 해킹하여 스미싱, 스팸문자를 발송한다.문자무단발송공격을수행하는공격자의행위공격자의 행위 흐름• 최초 침투(Initial Access) 무차별대입 공격, 사전대입 공격을 통한 취약한 관리자 계정 정보 탈취 파일 업로드 취약점을 악용한 웹쉘파일 업로드 • 지속(Persistence) 웹쉘을 사용한 공격 수행 • 수집(Collection) 데이터베이스 접근을 통한 사용자 계정 정보 수집 • 영향(Impact) 불특정 다수에게 스팸 메시지(SMS) 발송으로 금전피해 발생 문자 발송 시스템 오류로 사용 가용성 침해문자 무단발송 침해사고문자 메시지는 우리 일상 속에서 빼놓을 수 없는 통신 수단 중 하나이다. 간단한 일상 대화부터 중요한 경조사 소식을 나눈 데까지 널리 사용된다. 하지만, 이러한 편리한 서비스가 때때로 악의적인 목적으로 변질 되기도 한다. 바로 불법적인광고를 목적으로 한 스팸 메시지가 그 예이다. 우리는 일상 속에서 스팸 메시지에 직면하며, 이로 인한 불편함과 함께 보안 위협을 경험한다.2024년 1분기 문자 무단발송 신고는 전체 침해사고의 15%를 차지하고 있으며, 문자 발송 서비스를 지원하는 업체는 증가하는 추세이다. 문자 무단발송 침해사고는 문자발송 서비스와 연동하여 운영되는 ERP 솔루션의 취약점을 악용하여 침투 후 데이터 베이스에 저장된 사용자 연락처를 수집해 대량의 스팸문자를 발송한 사고로 확인된다.서비스 사용자 관점의 대응방안 • 메시지 내 링크 연결 주의 – 메시지 내용이 발신자와 관련 없거나 의심스러운 경우 사용자는 각별한 주의를 기울여야 한다.• 사칭 스팸 문자 해당 기관에 문의 – 반드시 문자에 기재되어 있는 기업, 은행 등에 직접 문의해 해당 사실을 확인해야 한다.• 통신사에서 제공하는 스팸 차단 서비스 신청 – 받고 싶지 않은 번호나 문구를 직접 추가하여 차단할 수도 있다.서비스 제공자 관점의 대응방안• 관리자 페이지 및 계정 관리 강화 복잡한 아이디와 비밀번호 사용 다단계 인증 도입 접근제어 목록(IP화이트 리스트) 로그인 시도 제한 주기적 비밀번호 변경• 파일 업로드 보안 강화• 웹 로그 주기적 점검 및 백업• 웹 로그 설정• 주기적인 악성 파일 점검 및 제거• 한국인터넷진흥원정보보호 서비스 활용스미싱위협주의안내(출처: KISA)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
통신사 인터뷰 요청 위장 이메일 접근 화면(출처 : GSC)LNK를 통해 실행되는 파워쉘 명령어외신 인터뷰 의뢰 사칭 김수키 공격 발견김수키 그룹이 페이스북 정찰을 통해 추가 공격 대상자 탐색 후, 스피어 피싱으로 은밀히 공격 중인 정황을 포착했습니다.김수키 그룹은 MS관리콘솔을 이용한 공격을 지속하고 있으며, 현재 3종의MSC 악성파일이 추가 발견됐지만, 발견되지 않은 더 많은 변종이 있을 것으로 추정됩니다.해당 파일은 전세계 645개의 보안 및 백신 프로그램에서 탐지되고 있지 않고있으며, MSC 파일 내 Powershell 작업 명령 매개변수를 통해 C2 호스트‘profilepimpz[.]com’ 도메인을 통해 MSI 유형의 PlugX(aka KorPlug) 악성파일이 설치됩니다.Kimsuky 그룹의 MSC, HWP 기반 공격 흐름도공격 시나리오이번 김수키 APT 캠페인 건은 하나의 공격 시나리오로 단정해 설명하기 어렵습니다. 해당 위협 행위자들의 여러 사이버 작전 활동에 연속성과 복잡성이 보이기 때문입니다.지난 번 공격 시나리오가 북한 인권분야 공직자 사칭의 페이스북 계정이 악용됐다면, 금번 사례는 외신 통신사 소속의 신분처럼 위장한 이메일로 복수의 북한 인권 활동가에 접근한 점이 다릅니다.이처럼 두 케이스 모두 ‘북한 인권 분야‘라는 공통점이 있고, hwp 악성 문서와함께 ‘MS 관리 Console’ 프로그램을 통해 실행되는 ‘MS Common Console 문서(msc)’가 활용된 특징이 있습니다.요즘 추세는 정상 내용의 질문 및 협조 요청을 담아 오랜기간 신뢰와 친밀도를유지하며 대화하는 이른바 반응형 투트랙 스피어 피싱 공격이 늘어나는 추세입니다.결론2분기에 들면서 HWP 문서내 악성 OLE를 삽입한 공격 사례가 조금씩 발견되고 있습니다. 물론, LNK 바로가기 유형의 악성 코드는 5월까지 꾸준히 보고됐습니다. 특히, MSC 관리콘솔을 이용한 위협이 연이어 식별된 것은 매우 주목할 점입니다. 이른바 ‘백신프로그램’의 탐지율이 저조한 것도 그만큼 널리 알려지지 않았기 때문입니다. 김수키 그룹이 MSC 관리콘솔 명령을 국지적 APT 공격에 적극 활용한 이유는 시그니처(패턴) 기반의 보안 탐지 회피 전략으로 평가됩니다. 국가배후 위협그룹은 단말에 설치된 백신 프로그램의 탐지를 회피하는 노력을 꾸준히 진행 중입니다. 특히, MSC 기반 공격이 증가하고 있어 각별한 주의가 필요합니다.APT 공격에 대한 보안 권장 사항• 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다.• C2 서버와 통신을 차단하기 위해 IP 차단을 진행해야 한다.(C2 IP : 89.40.173[.]131, 46.252.150[.]82)• 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다.• Anti-Virus 제품의 업데이트를 최신화 해야 한다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
GitLab의위협행위자계정(출처: 블리핑컴퓨터)2024년 4월 악성코드 유형별 비율2024년 4월 악성코드 공격 동향2024년 4월(1일~30일까지 집계) 한 달 동안 국내외에서 수집된 악성코드 현황을 분석및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다.지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기간을 표적으로 하는‘JsOutProx’ 악성코드가 발견된 것이다.또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다. 이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다.SSLoad 악성코드 화면 (출처 : 해커뉴스)금융기관을 표적으로 삼는 JsOutProx4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜결제알림을 보낸다고 전했다.사용자가 이메일의 첨부 파일을 실행하면 깃랩 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다.분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국관련 공격자가 배후에 있을 것으로 추정했다.안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 해당 악성코드가 정부기관과 온라인증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다.피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 이에 대해 캠페인 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.결론4월 악성코드의 행위는 이메일을 시작으로 하여 피싱, 첨부파일 클릭 유도 등 사회공학적인 기법이 많이 들어간다. 그 이후악성코드가 다운로드가 되어 실행하게 되면 피해자에게 연결하여 개인정보 유출 등이 시작되므로 반드시 주의해야 할 것이다. 그러므로 출처가 불분명한 이메일을 받아볼 시 주의하면서 읽어야 하는 습관을 들여야 할 것이다.피싱 이메일 피해 예방 방법• 출처 불분명한 이메일, 문자메시지,블로그 등에 포함된 URL에접근하지않는다.•개인 정보(로그인), 금융 정보(보안카드)에 대한 입력이 필요할 때는 주소창에 자물쇠 그림을 확인 한다.•보안강화, 업데이트 명목으로 개인 정보/금융정보를 요구하는 경우절대 입력하지 않는다.•가급적 메일에 포함된 링크를클릭하지않고,검색을 통해새창에서 사이트를연다.피싱메일유형및예방법(출처: 국가사이버안보센터)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
LNK 속성 (출처: ASEC)LNK를 통해 실행되는 파워쉘 명령어Cloud Storage를 활용하는 APT 공격최근 북한 해커 조직 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중한 것으로 드러났다. 클라우드 저장소를 공격 거점으로 활용했으며, 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도한 정황이 포착됐다. 특히 ‘바로가기(LNK)’ 타입의 공격이 지속돼 각별한 주의가 요구된다.전형적인 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용 중인 보안 메일 내역처럼 위장한 것이 특징이다.초기 접근은 정상 이메일로 시작, 반응형 스피어 피싱 전략 구사하며 합법적인 클라우드 저장소의 다단계 공격 체인과 RAT 공격 활용 APT43 그룹의 BabyShark 위협 캠페인 연장선으로 확인이 된다.동작 구조Cloud Storage를 활용하는 APT 공격 동작1. 유포 파일(바로가기 파일(*.LNK))• LNK 파일에는 파워쉘 명령어가 존재하며 ms_temp_08.ps1 파일명으로 저장 후 실행• 생성된 ms_temp_08.ps1 는 디코이 문서 파일과 추가 악성 파일 다운로드및 작업 스케쥴러 등록 행위를 수행• ms_update.ps1 파일은 클라우드 저장소에서 SoJ****-X.txt 파일을 다운로드 한 후 info.ps1 명으로 저장 후 실행2. 클라우드를 통해 다운로드 된 악성코드• 파워쉘 명령어로 사용자 PC 정보를 수집하여 공격자 클라우드에 업로드• info.ps1(SoJ****-X.txt) 파워쉘 명령어로 특정 파일을 공격자 클라우드에 업로드하고, 추가 악성코드를 다운로드 및 실행• system-xn.dat 악성코드는 XenoRAT으로 공격자의 명령어를 수행(C2 : 159.100.29[.]122:8811)결론2024년 1분기까지 바로가기(LNK) 유형의 APT 공격은 계속 이어지고 있다. 한국을 공격 대상으로 활동하는 주요 위협 행위자들은 초기 침투단계시 단말에 설치된 Anti-Virus 탐지 회피 효과를 극대화하기 위해 이 방식을 전략적으로 사용 중이다. 특히, 합법적으로 서비스 중인 글로벌 클라우드 저장소를 일종의 위협거점 인프라로 지속 활용 중이다. 그러므로 개인 이용자를 포함해 기업 및 기관의 보안관리자는 주요 클라우드 저장소의 통신 이력도 세심히 살펴볼 필요가 있다. 주로 PowerShell 스크립트와 클라우드 서비스가 제공하는 정상 API 기능을 활용해 Fileless 기반 공격을 수행하기 때문이다. 특히, 암호화된 코드와통신으로 인해 이상행위 탐지와 식별이 쉽지 않다. 한편 구글드라이브, 드롭박스, 원드라이브 등은 APT 공격에 악용된 서비스 계정 차단과 후속조치를 위해서는많은보안 전문가들의 지원과 협력이 중요하다.Cloud storage APT 공격에 대한 보안 권장 사항• 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다.• C2 서버와 통신을 차단하기 위해 동작 과정에서 설명한 IP 차단을 진행해야 한다.(C2 IP : 159.100.29[.]122:8811)• 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다.• Anti-Virus 제품의 업데이트를 최신화 해야 한다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 3월 진단명별 데이터 유출 현황2024년 3월 국가별 데이터 유출 비율2024년 3월 랜섬웨어 록빗과 플레이로 가장 큰 피해2024년 3월(1일~31일까지 집계)에 집계한 랜섬웨어 공격은 록빗과 플레이로 가장 큰피해를 입은 달이 아니였나 싶습니다. 3월 집계한 결과로 보았을 때 진단명별로 데이터유출 현황을 보면, 록빗과 플레이가 가장 많은 공격을 한 사례가 되었으며, 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었습니다.3월 한 달간 랜섬웨어 동향을 조사한 결과, 스코틀랜드의 국립 보건 서비스가 "INCRansom“ 조직의 공격으로 데이터가 유출된 정황이 발견되었습니다. 또한, 스위스 정부와 일본의 자동차 제조 업체 Nissan에서 각각 “Play”와 “Akira” 랜섬웨어의 영향으로 유출된 데이터 정보를 공개했습니다. 한편, 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정 기관은 지난 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌습니다.국내/외 랜섬웨어 피해 타임라인스위스 정부, Play 랜섬웨어 피해 사례 3월 초, 스위스 정부에서 “Play”랜섬웨어 공격의 영향으로 유출된 데이터의 분석결과를 발표했다. “Play” 측은 작년에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부 기관에서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 이후 진행된사건 조사에서 유출된 데이터 중 약 65,000개가 정부의 것임을 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고덧붙였다. 피해 정부 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 없는 것으로 확인된다.미국 콜로라도주 국선 변호인실, 랜섬웨어 피해 사례 미국의 콜로라도주 국선 변호인실이 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 기관은 2월초 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편, 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경계심을 유지할 것을 권고했다.미국 온타리오주 해밀턴시 행정 기관, 랜섬웨어 피해 사례3월 말, 미국 온타리오주에 위치한 해밀턴시의 행정 기관에서 랜섬웨어 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했음을 알렸다. 이에 대해 중단된 서비스는 직원이 수동으로 대응하며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영한다고 전했다. 이후, 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구와 재건축에 중점을 두고 작업 중이라고 발표했다. 이번 사건에 대한 배후자는 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.결론랜섬웨어는 국가 핵심 인프라 시설과 기업을 대상으로 대규모 공격을 지속하였으며, 파일을 암호화하는 것 뿐만 아니라 기업의 기밀 정보를 유출함으로써 2차 피해 우려를 낳고 있습니다. 때문에 세계 각국에서는 랜섬웨어를 대응 및 예방하고자 다양한 지침을 발표하였고, 국내‧외에서 발생한 랜섬웨어 사건‧사고에 대해 알아보고 랜섬웨어에 대응해야 하겠습니다.랜섬웨어 피해 예방 방법• 정기적인 데이터 백업: 중요한 데이터를정기적으로 백업하고최소한 한 개 이상의 전체 백업을오프라인으로 유지하세요.• 소프트웨어업데이트: 운영 체제와 응용 프로그램을 최신버전으로 유지하고보안 패치를 적용하세요.• 신뢰할 수 있는 백신 소프트웨어설치: 랜섬웨어를 예방하기 위해 신뢰할 수 있는 백신 프로그램을설치하고 최신 버전으로 업데이트하세요.• 의심스러운이메일과 URL 조심: 출처가 불분명한이메일과 URL 링크를 실행하지 않도록 주의하세요.• 파일 확장자 확인: 알려진 랜섬웨어확장자를 확인하고 의심스러운 파일을 열지 않도록 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.2점 / 30명 참여