통합검색
'' 검색결과는 총 135 건 입니다.
GitLab의위협행위자계정(출처: 블리핑컴퓨터)2024년 4월 악성코드 유형별 비율2024년 4월 악성코드 공격 동향2024년 4월(1일~30일까지 집계) 한 달 동안 국내외에서 수집된 악성코드 현황을 분석및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다.지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기간을 표적으로 하는‘JsOutProx’ 악성코드가 발견된 것이다.또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다. 이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다.SSLoad 악성코드 화면 (출처 : 해커뉴스)금융기관을 표적으로 삼는 JsOutProx4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜결제알림을 보낸다고 전했다.사용자가 이메일의 첨부 파일을 실행하면 깃랩 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다.분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국관련 공격자가 배후에 있을 것으로 추정했다.안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 해당 악성코드가 정부기관과 온라인증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다.피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 이에 대해 캠페인 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.결론4월 악성코드의 행위는 이메일을 시작으로 하여 피싱, 첨부파일 클릭 유도 등 사회공학적인 기법이 많이 들어간다. 그 이후악성코드가 다운로드가 되어 실행하게 되면 피해자에게 연결하여 개인정보 유출 등이 시작되므로 반드시 주의해야 할 것이다. 그러므로 출처가 불분명한 이메일을 받아볼 시 주의하면서 읽어야 하는 습관을 들여야 할 것이다.피싱 이메일 피해 예방 방법• 출처 불분명한 이메일, 문자메시지,블로그 등에 포함된 URL에접근하지않는다.•개인 정보(로그인), 금융 정보(보안카드)에 대한 입력이 필요할 때는 주소창에 자물쇠 그림을 확인 한다.•보안강화, 업데이트 명목으로 개인 정보/금융정보를 요구하는 경우절대 입력하지 않는다.•가급적 메일에 포함된 링크를클릭하지않고,검색을 통해새창에서 사이트를연다.피싱메일유형및예방법(출처: 국가사이버안보센터)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
CVE-2024-3400 취약점 제로데이, Palo Alto Networks사 방화벽 공격
CVE-2024-3400 취약점 이슈 발표 (출처: 보안뉴스)초기 Python 페이로드 (출처:BleepingComputer)CVE-2024-3400 제로데이 취약점최근 3월 26일부터 Palo Alto Networks 방화벽의 제로데이 취약점(CVE2024-3400)을 악용한 공격이 발생하였습니다. 해커들은 취약한 방화벽 장치를 이용하여 내부 네트워크를 침해하고 데이터와 자격증명을 훔쳐왔습니다. 해커들은 PAN-OS 방화벽 소프트웨어의 인증되지 않은 원격 코드 실행 취약점을 적극적으로 악용하고 있으며, 긴급 패치인 핫픽스는 19일에 패치될 예정이라 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구되는 상황입니다.이 제로데이 취약점은 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 됩니다. 공격 대상이 된 방화벽은 공격자가 인프라에reverse shell을 생성하고 방화벽에 추가 페이로드를 다운로드를 합니다. 설치된 페이로드는 백도어 역할을 하는 PAN-OS용 ‘Upstyle’이라는 백도어를 실행하게 됩니다.CVE-2024-3400 제로데이 공격 흐름도CVE-2024-3400 제로데이 공격 흐름 이 공격은 두 가지 버그를 교묘하게 결합함으로써 취약한 방화벽에서 명령 실행을 달성하기 위해 2단계 공격을 수행할 수 있음을 발견했습니다.1단계에서는 공격자는 유효한 세션 ID 대신 신중하게 조작된 Shell 명령을GlobalProtect에 보냅니다. 이로 인해 공격자가 선택한 파일 이름으로 포함된명령이 포함된 빈 파일이 시스템에 생성됩니다.2단계에서는 정기적으로 실행되는 의심할 여지가 없는 예약된 시스템 작업이명령에서 공격자가 제공한 파일이름을 사용합니다. 이로 인해 공격자가 제공한 명령이 상승된 권한으로 실행됩니다.1단계가 성공했다고 해서 반드시 공격자의 명령이 실행되었다는 의미는 아닙니다. 오히려 단순히 공격자가 방화벽 자체를 손상시키지 않는 이상한 이름의빈 파일을 생성했다는 의미입니다.결론CVE-2024-3400 취약점 제로데이 공격은 Palo Alto Networks사 방화벽을 쓰는 기업에서는 매우 위험한 취약점 공격입니다. 때문에 GlobalProtect VPN 기능을 쓰는 기업이라면은 패치 사항을 적용 시켜 취약점 문제를 해결하는 것이 가장 좋은 방법일 것입니다. 이러한 제로데이 공격으로 부터 보호하기 위해 다음과 같은 보안 권장 사항을 권고합니다.CVE-2024-3400 제로데이 취약점에 대한 보안 권장 사항• 팔로알토 방화벽을 쓰는 기업이라면은 GlobalProtect 기능을 꼭 써야하는지 위험 사항을 체크해봐야 합니다.• 방화벽 접근권한을 최소화 및 방화벽 정책을 최적화 시켜야 합니다.• 공용계정은 사용하지 않도록 합니다.• 이번 취약점 침해지표를 적용시켜 차단 시켜두어야 할 것입니다. 해당 URL 공유(https://unit42.paloaltonetworks.com/cve-2024-3400/)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 3월 진단명별 데이터 유출 현황2024년 3월 국가별 데이터 유출 비율2024년 3월 랜섬웨어 록빗과 플레이로 가장 큰 피해2024년 3월(1일~31일까지 집계)에 집계한 랜섬웨어 공격은 록빗과 플레이로 가장 큰피해를 입은 달이 아니였나 싶습니다. 3월 집계한 결과로 보았을 때 진단명별로 데이터유출 현황을 보면, 록빗과 플레이가 가장 많은 공격을 한 사례가 되었으며, 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었습니다.3월 한 달간 랜섬웨어 동향을 조사한 결과, 스코틀랜드의 국립 보건 서비스가 "INCRansom“ 조직의 공격으로 데이터가 유출된 정황이 발견되었습니다. 또한, 스위스 정부와 일본의 자동차 제조 업체 Nissan에서 각각 “Play”와 “Akira” 랜섬웨어의 영향으로 유출된 데이터 정보를 공개했습니다. 한편, 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정 기관은 지난 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌습니다.국내/외 랜섬웨어 피해 타임라인스위스 정부, Play 랜섬웨어 피해 사례 3월 초, 스위스 정부에서 “Play”랜섬웨어 공격의 영향으로 유출된 데이터의 분석결과를 발표했다. “Play” 측은 작년에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부 기관에서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 이후 진행된사건 조사에서 유출된 데이터 중 약 65,000개가 정부의 것임을 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고덧붙였다. 피해 정부 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 없는 것으로 확인된다.미국 콜로라도주 국선 변호인실, 랜섬웨어 피해 사례 미국의 콜로라도주 국선 변호인실이 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 기관은 2월초 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편, 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경계심을 유지할 것을 권고했다.미국 온타리오주 해밀턴시 행정 기관, 랜섬웨어 피해 사례3월 말, 미국 온타리오주에 위치한 해밀턴시의 행정 기관에서 랜섬웨어 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했음을 알렸다. 이에 대해 중단된 서비스는 직원이 수동으로 대응하며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영한다고 전했다. 이후, 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구와 재건축에 중점을 두고 작업 중이라고 발표했다. 이번 사건에 대한 배후자는 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.결론랜섬웨어는 국가 핵심 인프라 시설과 기업을 대상으로 대규모 공격을 지속하였으며, 파일을 암호화하는 것 뿐만 아니라 기업의 기밀 정보를 유출함으로써 2차 피해 우려를 낳고 있습니다. 때문에 세계 각국에서는 랜섬웨어를 대응 및 예방하고자 다양한 지침을 발표하였고, 국내‧외에서 발생한 랜섬웨어 사건‧사고에 대해 알아보고 랜섬웨어에 대응해야 하겠습니다.랜섬웨어 피해 예방 방법• 정기적인 데이터 백업: 중요한 데이터를정기적으로 백업하고최소한 한 개 이상의 전체 백업을오프라인으로 유지하세요.• 소프트웨어업데이트: 운영 체제와 응용 프로그램을 최신버전으로 유지하고보안 패치를 적용하세요.• 신뢰할 수 있는 백신 소프트웨어설치: 랜섬웨어를 예방하기 위해 신뢰할 수 있는 백신 프로그램을설치하고 최신 버전으로 업데이트하세요.• 의심스러운이메일과 URL 조심: 출처가 불분명한이메일과 URL 링크를 실행하지 않도록 주의하세요.• 파일 확장자 확인: 알려진 랜섬웨어확장자를 확인하고 의심스러운 파일을 열지 않도록 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
연도별 디도스 공격 신고 건수유형별 침해사고 신고 현황디도스 공격, 2024년에도 여전히 위협적인 존재2023년은 디도스(DDoS) 공격과 관련하여 특히 눈에 띄는 해였습니다. 이 해에는 디도스 공격에 대한 신고가 크게 증가했으며, 이는 여러 보안 보고서와 데이터 분석에서 명확하게 드러났습니다. '연도별 디도스 공격 신고 건수'의 동향을 살펴보면, 2023년 국내에서만 디도스 공격에 대한 신고가 213건에 달하는 것을 확인할 수 있으며, 이는 2022년 대비 무려 74.6%나 증가한 수치입니다. 이러한 증가율은 디도스 공격이 얼마나 심각한 문제로 대두되고 있는지를 잘 보여줍니다. 특히, 디도스 공격은 침해사고 유형 중에서도 전체의 20.2%를 차지하며, 서버 해킹(47.8%)과 악성코드 감염(28.2%)에 이어 세 번째로 높은 비율을 기록했습니다.2024년에 들어서도 디도스 공격의 위협은 계속되고 있습니다. 특히 주목할 만한 사건은 2월, 3월 계속 지속되는 인터넷 방송인과 국내 e스포츠 리그, LCK 경기를 대상으로한 디도스 공격입니다. 이 공격은 국내뿐만 아니라 전 세계 e스포츠 팬들에게도 큰 충격과 혼란을 안겨주었습니다.LCK 디도스 공격에 대한 공지(출처 : LCK 페이스북)LCK 디도스 공격 사건2024 LCK 스프링 시즌은 대회 초기까지는 디도스 공격과 같은 문제가 발생하지않아 안전하다고 여겨졌습니다. 대회가 시작된 후, 2월 25일 전까지는 모든 경기가문제 없이 진행되었으나, 2월 25일 경기 중 네 시간 동안 여덟 번의 게임 중단(퍼즈)이 발생했습니다. 처음 발생한 여덟 번의 퍼즈는 네 시간에 걸쳐 발생했으며, 이는 선수들의 핑 문제로 인한 것으로 추정되었습니다. 그러나 이러한 문제가 반복되어, 다섯 번의 퍼즈가 더 발생하자, LCK 사무국은 공식적으로 대회가 디도스 공격을 받고 있다고 발표했습니다. LCK는 경기를 비공개 녹화 중계로 전환했습니다. 이 결정은 공격자들이 경기 시간을 예측할 수 없게 함으로써, 추가적인 디도스 공격을 방지하기 위한 선제적인 조치였습니다. 그러나 디도스 공격의 위협은 남아 있으며, 심지어 한 선수는 경기 후 랙이 심각하다고 언급하기도 했습니다. 이 사건은e스포츠 대회까지 디도스 공격의 타겟이 되고 있음을 보여주며, 문제의 심각성을다시 한번 강조하고 있습니다.3월 인터넷 방송인을 대상으로 한 디도스 피해내용인터넷 방송인을 대상으로 한 디도스 공격 사건최근 인터넷 방송 BJ들과 게임 업계가 대규모 디도스 공격으로 인해 큰 피해를 입었습니다. 이러한 공격은 방송 중단과 게임 플레이에 심각한 지장을 겪었습니다. OBS 문제와의 혼동 사례도 있으나, 대체로 디도스 공격이 주된 원인으로 지목되고 있습니다. 특히 2023년 말부터 2024년 초까지의 기간 동안 더욱 빈번하게 발생하고 있습니다. 이에 따라 방송 플랫폼과 BJ들은 새로운 대응책 마련의 필요성을 느끼고 있으며, 커뮤니티 내에서도 큰 논란이 되고 있습니다.올해 3월 한달 간 리그 오브 레전드(LoL), 배틀그라운드, 로스트아크 등 다양한 게임이디도스 공격의 대상이 되었습니다. 이로 인해 여러 인터넷 방송과 e스포츠 대회들이 방송 중단이나 전략 변경을 겪어야 했으며, 아프리카TV, 치지직, 트위치 등 여러 방송 플랫폼에서 활동하는 인터넷 방송인들이 디도스 공격으로 인해 방송 중단 및 게임 플레이에 큰 지장을 겪었습니다.결론이번 DDoS 공격은 배후에 디스코드 ‘스위스나이프’ 채널1)을 운용하는 곳에서 배포하는 툴로 추정이긴 하나 정황상 한국의 IP 를수집하여 공격했다는 것을 주의해야 하며, 앞으로는 이러한 공격을 막기 위해서는 DDoS 공격을 효율적으로 예방하거나 사이버 대피소 같은 곳을 이용하여 대피하는 것이 중요합니다.1) 스위스나이프 : 디지털데일리 기사에서 추측성 기사 원문을 읽고 쓴 결론으로 해커의목적을 모르기 때문에 추측성 기사글이 난무하게 되어 이런식으로 결론을 맺고자 함.디도스 피해 예방 방법 • 인터넷 대역폭을 확보하는 방법 : 인터넷 대역폭을늘려주는 것이 중요하며, 이로 인해 대량의 트래픽에도견고하게 대응할 수 있게 됩니다.• 주요 콘텐츠나 데이터베이스를분산해서 배치하는 방법 : 가용성을 위해 이중화를 진행을 추진하거나 망분리를 통해 전체 시스템에 대한 영향을 분산 시켜 피해 확산을 줄이는 것이 중요합니다.• 인터넷 트래픽을 실시간 모니터링해 디도스 공격이 발생할 경우 즉각 대응할 수 있도록 하는 방법 : 이러한 방법은 비용과 인력을 필요로 하기에 관제요원을 투입하여 즉각 적으로 대응 하는 것이 효과적입니다.• 정부(KISA)에서디도스 사이버대피소를운영하는 것을 이용 : 첫 번째와 세 번째를 함께 사용한다는 것이 특징이며, 이 방법을 통해 DDoS 공격을 효과적으로 대처할 수 있 고, 중소‧영세기업도효율적으로 이용할수 있습니다.디도스 사이버대피소 절차(출처 : KISA) 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
악성 PDF 파일 내용 (출처: FORTINET)PDF 파일에 삽입된 URL (출처: FORTINET)뱅킹 트로이 목마 최근 3월, 브라질 은행 사용자를 대상으로 하는 CHAVECLOAK라는 심각도가높은 트로이 목마가 발견 되었습니다. 뱅킹 트로이 목마는 주로 온라인 금융 시스템을 표적으로 삼아 정교하게 제작된 소프트웨어 프로그램을 위협하고 있으며, 사용자로부터 민감한 금융 정보를 훔치는 것을 목표로 하고 있습니다. 이러한 트로이 목마는 일반적으로 은밀하게 작동하여 피싱 이메일, 손상된 소프트웨어 또는 악성 웹 사이트와 같은 다양한 벡터를 통해 컴퓨터에 침투합니다.이 트로이 목마가 피해자의 장치에 침투하게 되면 키 입력 정보를 모니터링 및기록하거나 스크린 샷을 캡처하고, 웹 세션을 조작할 수 있는 능력을 가지게 됩니다. 그 결과로 로그인 자격 증명을 가로채어 사용자의 개인 정보나 금융 정보가 유출되어 금융 계좌에 대한 무단 액세스 및 사기 거래가 발생하는 경우로 이어집니다.CHAVECLOAK 공격 흐름도 CHAVECLOAK 공격 흐름CHAVECLOAK 공격 흐름이 공격은 PDF 파일을 포함한 피싱 메일을 통해 전파됩니다. 사용자를 속여PDF 파일인 문서를 열면 내용 안에 전자 서명이 가능한 버튼이 있습니다. 실제로 버튼을 클릭하면 Goo.su URL 단축 서비스를 사용하여 원격 링크에서설치 파일을 검색을 합니다. 설치 파일 내에 존재하는 Lightshot.exe라는 실행 파일은 DLL 사이드 로딩을 활용하여 중요한 정보의 도난을 가능하게 하는CHAVE CLOAK 악성코드인 Lightshot.dll을 로드합니다. 이 악성코드는 시스템 메타데이터를 수집하고 브라질에 있는 손상된 시스템을 확인하기 위해 시스템을 검사합니다. 또한, victim 창을 모니터링하여 은행과 관련된 문자열을비교하고, 일치하면 C2 서버와 연결되어 다양한 종류의 정보를 수집하고 금융기관에 따라 서버의 고유한 해커 서버로 유출합니다. 이를 통해 운영자가 피해자의 화면을 차단하고, 키 입력을 기록하고, 사기성 팝업 창을 표시하도록 허용하는 등 피해자의 자격 증명을 훔치기 위한 다양한 전술을 사용합니다.결론CHAVECLOAK 뱅킹 트로이 목마는 SMS, 이메일 피싱, 손상된 웹사이트를 통해 PDF, ZIP 파일 다운로드, DLL 사이드로딩 및 사기성 팝업을 활용하여 전파되는 심각한 사이버 위협입니다. 이 트로이 목마는 브라질의 금융 시장을 특히 목표로 하며, 개인정보 훔치기, 시스템 정보 스캔, 키스트로크 로깅 등을 통해 사용자의 은행 계정에 심각한 피해를 주고있습니다. 이러한 유사한 뱅킹 트로이 목마로부터 보호하기 위해 주의 깊은 행동 방침을 따르는 것이 중요합니다.뱅킹 트로이 목마에 대한 보안 권장 사항• 사용자는 의심스러운 이메일 또는 신뢰할 수 없는 출처에서 보낸 이메일 내에 링크 클릭이나 첨부 파일을 다운로드 수락 또는 실행해서는 안됩니다.• 웹사이트 URL에 오타나 사소한 변형이 있는지 확인하고, 2단계 인증(2FA)을 활성화 하여 강력한 비밀번호를 사용해야합니다.• 운영체제, 웹 브라우저 및 보안 소프트웨어를 정기적으로 업데이트하여 새롭게 발견되는 악성코드로부터 보호할 수 있습니다.• 바이러스 백신 소프트웨어를 최신 상태로 유지해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint)라즈베리 로빈 라즈베리 로빈(Raspberry Robin)은 2021년 Red Canary이 처음 식별된 웜으로, 주로 USB 드라이브와 같은 이동식 저장 장치를 통해 확산되어 감염된 시스템에 발판을 마련하고 추가 페이로드를 쉽게 배포할 수 있습니다. 그러나 라즈베리 로빈의 최신 버전은 더욱 은밀하고 취약한 시스템에만 배포되는 사이드로딩 공격, 0-day 취약점 공격 등을 구현합니다. 사이드로딩 공격은 합법적인 프로그램을 악용하여 악성 DLL 파일을 로딩을 하는 기법입니다. 최근에는 OleView.exe 파일을 악용하는 사례가 있었으며, 0-day 취약점 공격은 알려지지 않는 0-day 취약점을 악용하여 시스템 권한 상승(CVE-2023-36802 및 CVE-2023-29360)을 시켜 라즈베리 로빈을 설치합니다. 이러한 공격의 최종 목표는 데이터 도난, 암호화 랜섬웨어 공격, CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint) 기타 악성 활동 등 다양한 악영향을 가져올 수 있습니다.Raspberry Robin 공격 흐름Discord를 이용한 라즈베리 로빈 공격 흐름 최근 Discord 플랫폼을 이용하여 공격 대상자에게 링크를 이메일로 보낸 후 악성 압축 파일을 업로드하여 이루어지는 공격입니다. 파일은 File.Chapter-1.rar와 유사한 이름을 가지고 있지만, 위장을 위해 다른 이름으로 변형될 수 있습니다. 공격자는 다양한 방법을 사용하여 피해자를 속여 해당 파일을 다운로드하고 실행하도록 유도합니다. 파일을 실행하면, OleViw.exe라는 정상적인 Microsoft 실행 파일이 실행되면서 압축된 악성 Raspberry Robin DLL 파일을 로딩을 합니다. 이 DLL 파일은 외부적으로는 정상적인 Microsoft 서명을 가진 것 처럼 보이지만, 실제로는 유효하지 않습니다. 로딩된 DLL 파일은 시스템 내의 취약점을 악용하여 권한 상승을 시도합니다. 최근의 공격에서는 알려지지 않은 0-day 취약점을 이용한 것으로 알려져 있으며, 권한 상승에 성공하면 공격자는 네트워크 내의 다른 시스템으로 이동하고 악성 코드를 설치하여 지속적인 접근을 유지합니다.Raspberry Robin 변종에서 볼 수 있는 시스템(출처:checkpoint)결론라즈베리 로빈(Raspberry Robin)은 최근 급속하게 성장한 멀웨어이며, 복잡한 공격의 단계를 간단히 해결해주고 권한 상승이라는 취약점 공격이 꾸준히 추가되면 그 이후에도 여러 유형의 공격을 쉽게 시작 할 수 있기 때문에 Evil Corp나 TA 505와 같은 악명 높은 사이버 범죄 집단들이 라즈베리 로빈을 즐겨 사용하는 것으로 알려져 있습니다. 라즈베리 로빈의 예전 버전은 주로 USB 드라이브로 배포를 했다면, 최근에는 디스코드 RAR 파일을 통해 배포를 합니다. 또한, 이전 버전에 업데이트를 하여 추가적인 기능 몇가지가 포함 되어있으며 공격에 당하면 데이터 도난, 암호화 랜섬웨어 공격, 기타 악성 활동 등 다양한 악영향을 가져올 수 있기 때문에 주의를 해야합니다.사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를클릭하지 않아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 1월 악성코드 유형별 진단 수 비교상위 10개의 랜섬웨어 제품군(출처:Bitdefender)Faust 랜섬웨어2018년 12월에 처음 발견된 포보스(Phobos) 랜섬웨어는 주로 소규모 기업을 대상으 로 하는 사이버 위협이며, 상위 10개의 랜섬웨어 제품군 중 하나이기도 합니다. Faust 랜섬웨어는 2019년 이후에 등장했으며, 피해자의 컴퓨터에 있는 파일을 암호화하도록 설계된 악성 소프트웨어 그룹, 포보스 랜섬웨어의 변종입니다. 최근 Faust 랜섬웨어를 전파하는 것을 목표로 하는 VBA 스크립트가 포함된 오피스 문서가 발견되어 이슈가 되 기도 했습니다.Faust 랜섬웨어는 주로 감염되는 컴퓨터에 저장된 파일 유형을 대상으로 삼고 암호화 알고리즘을 사용해 파일을 잠그면서 진행되며, 피해자는 잠겨진 문서, 이미지, 데이터베 이스 및 기타 여러 파일에 액세스할 수 없어지고, 사용할 수 없게 됩니다. 그런 다음 Faust 랜섬웨어 운영자는 암호 해독 키를 제공하겠다고 약속하며 피해자에게 금전적 요구 하는 방식으로 이득을 취하게 됩니다.암호화 제외 리스트(출처:포티넷)Faust 랜섬웨어 감염 과정 암호화 초반 과정Faust 랜섬웨어는 사회 공학적 전술을 이용하여 가짜 이메일, 메시지로 사람들 을 속여 중요한 정보를 공개하거나 악성 콘텐츠를 다운로드하도록 합니다. 그런 다음, 일반적으로 손상되고 취약한 RDP(원격 데스크톱 프로토콜) 연결을 악용 하여 시스템에 대한 무단으로 접근할 수 있는 권한을 얻습니다. 시스템을 감염 시키면 Faust는 강력한 암호화 알고리즘을 사용하여 감염된 컴퓨터나 네트워 크의 여러 파일을 암호화합니다.암호화 제외 리스트Faust 랜섬웨어는 몇가지 파일 확장자, 경로, 파일명을 제외하고 암호화합니다. 포보스 이외의 랜섬웨어에 감염됐을 경우 이중으로 암호화 될 수도 있고 시스템 을 파괴하거나 랜섬 정보를 암호화하는 것을 방지하기 위함으로 보입니다.암호화된 파일 이름(출처:PCrisk) Info.txt(출처:PCrisk)암호화된 파일 이름 변경암호화된 파일은 이름이 변경됩니다. Faust 랜섬웨어는 각 피해자의 고유 ID인 고유 식별자를 파일 이름에 추가합니다. 또한 파일 이름에는 공격자의 이메일 주 소(gardex_recofast@zohomail.eu)가 포함되어 있습니다. 이러한 암호화된 파일을 구별하기 위해 새 파일 확장자 ‘faust’를 추가하고 디렉터리 내에서 info.txt 및 info.hta를 생성합니다. 이 파일들은 협상을 위해 공격자와 연락을 취하는 수단으로 사용됩니다.암호 해독 방법 전달Faust 랜섬웨어는 암호화 과정을 거쳐 info.txt, info.hta 두 개의 랜섬 노트를 전달하여 피해자가 공격에 대해 알 수 있도록 합니다. 랜섬노트에서 Faust 랜섬 웨어는 암호 해독 키의 대가로 비트코인 지불을 요구합니다. 구체적인 금액은 피 해자가 공격자와 얼마나 빨리 접촉을 하는지에 따라 다릅니다. 결론Faust 랜섬웨어 같은 새로운 변종이 등장한 것처럼, 랜섬웨어 환경은 계속해서 진화하고 있습니다. 진화하는 랜섬웨어를 예방하기 위해 안전한 보안 환경을 계속해서 유지해야 할 것이며, 소프트웨어를 최신 상태로 유지하고, 데이터를 백업하는 등의 개인적인 노력도 필요합 니다. 또한 공격이 발생하면 신속하고 결단력 있는 조치가 필요합니다. 감염된 시스템을 격리하고, 랜섬웨어 변종을 식별하고, 관련 기관 에 사고를 보고해야 하는 것도 명심하시길 바랍니다.Faust 랜섬웨어 예방 방법 • 소프트웨어를 최신 상태로 유지 : 운영 체제와 프로그램을 정기적으로 업데이트하여 소프트웨어의 취약점을 지속적으로 점검하고 새로 탐지된 위협으로부터 보안 상태를 유지하기 위해 보안 기준을 패치하도록 합니다.• 평판이 좋은 바이러스 백신 소프트웨어 사용 : 평판이 좋은 바이러스 백신 소프트웨어를 사용하여 멀웨어에 대한 보호를 크게 강화하고 정기적으로 업데이트 되는지 확인합니다.• 의심스러운 이메일 주의 : 피싱 이메일은 사이버 공격자가 사용하는 가장 일반적인 공격 방법 중 하나이므로 의심스러운 이메일 내의 파일을 열거나 링크를 클릭 하지 말아야 합니다.•데이터 백업 : 랜섬웨어 공격 시 데이터가 완전히 손실되지 않도록 외장하드나 클라우드에 정기적으로 데이터를 백업해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
라자루스 공격 그룹의 공격 타임라인(출처:트랜드 마이크로)Lazarus라자루스(Lazarus)는 국가차원의 지원을 받는 것으로 알려진 공격 그룹으로 2009 년부터 악성 활동을 본격적으로 시작한 것으로 알려져 있습니다. 이 조직이 잘 알려지게 된 계기는 2014년 소니픽쳐스를 공격한 Operation Blockbuster 사건부터 였습니다. 또한, Operation Flame, Operation Troy, DarkSeoul 등 수많은 공격을 수행해 왔습니다. 하위 조직으로는 블루노르프로 알려진 APT38, 안다리엘 등이 존재하는 것으로 알려져 있습니다. 라자루스의 공격은 기존의 인프라 해킹과 같은 기술 기반의 공격, 인프라 시스템의 보안이 점점 강화되자 비교적 보안이 취약한 사람을 대상으로 한 사회공학적 공격 기법 등까지 다양한 방식으로 이루어집니다. 또한, 이들은 새로운 제로데이 취약점 공격 코드 등도 지속적으로 개발하고 있습니다.피싱 공격 프로세스라자루스가 CoinsPaid 를 공격한 프로세스(출처:CoinsPaid)스피어 피싱 피싱 공격 프로세스 스피어 피싱(Spear-Phishing) 공격이란? 스피어 피싱이란 피해자를 속여 중요 정보를 공유하도록 하는 공격인 피싱과 창(Spear)의 합성어로 기업, 개인 등 단일 대상 목표로 피싱 공격을 수행하는 공격 방식입니다.라자루스의 스피어 피싱 공격 라자루스는 개인들이 많이 사용하는 보안 소프트웨어의 제로데이 취약점을 활용 하기 위해 보안 소프트웨어 개발사를 대상으로 하거나 암호화폐 탈취를 위해 암호화폐 기업의 직원을 대상으로 하는 등 다양한 대상을 공격하고 있습니다. 그들의 주요 공격 방식은 뉴스레터로 위장하여 메일에 첨부된 URL을 클릭하게 유도하거나 취업 담당관으로 속여 면접 제안 메일을 보내 URL을 클릭하거나 악성코드가 심어진 애플리케이션을 설치하게 하는 등의 방식으로 대상을 특정한 스피어 피싱 공격을 시도 하고 있습니다.워터링 홀 공격 기법 프로세스(출처:트랜드마이크로) 라자루스의 워터링홀 공격 기법 프로세스워터링 홀 침투 방법워터링 홀(Watering Hole) 공격 기법이란? 워터링 홀의 어원은 물웅덩이 근처에 매복하여 먹잇감을 노리는 사자의 모습에서 가져온 것입니다. 해커가 공격할 대상에 대한 정보를 미리 수집하여, 자주 방문하는 웹 사이트를 알아낸 뒤 해당 사이트의 제로데이 취약점을 공격해 접속하는 사용자에게 악성코드를 뿌리는 방식의 사이버 공격입니다.라자루스의 워터링 홀 공격 라자루스는 특정 대상이 없는 무차별적인 공격보다는 특정 대상을 선정하고, 세밀한 공격을 수행 합니다. 정찰 과정을 통해 대상 기업이 사용하는 솔루션, IP 주소 대역, 업무 담당자 등의 사전정보를 확보합니다. 그 후 공격 대상이 업무상 목적으로 접근하거나 흔히 접근하는 웹사이트를 해킹하여 트리거 사이트를 준비해 놓습니다. 공격 준비가 완료 되면, 대상의 IP 주소 대역으로 필터링 해 공격 대상이 홈 페이지 접근 시 취약점 공격 코드가 존재하는 다른 사이트로 리다이렉팅 하는 방 식으로 공격을 수행합니다.결론라자루스(Lazarus) 공격 그룹은 워터링 홀 기법이나 스피어 피싱 등의 공격 기법을 주로 사용하며, 국내의 보안 소프트웨어 개발사나 암호화폐 결제 서비스 업체 등 다양한 대상을 상대로 공격을 펼쳐 왔습니다. 작년에 있었던 소프트웨어 공급망 공격이 올해에도 발생할 수 있으며, 꾸준한 제로데이 취약점 공격 코드 개발을 통해 기존에 진행했던 공격으로 예측 할 수 없는 공격을 가해올 수 도 있어 각별한 주의가 필요한 공격 그룹입니다.스피어 피싱과 워터링 홀 대응 방법라자루스의 대표적인 공격 기법인 스피어 피싱 공격이나 워터링 홀 공격 기법은 사회공학적 공격 기법으로 소프트웨어나 시스템의 취약 점이 아닌 사람의 실수를 공격에 이용하는 공격이기에 침입이나 위협을 판단하는 것이 어렵습니다. 하지만, 사회공학적 공격 기법은 사용자 개인의 분별력 제고 및 보안의식 수준에 크게 영향을 받습니다. 따라서, 평소 악성 메일 모의 훈련을 통해 경각심을 심어 주거나, 사회공학적 공격 기법을 방지하기 위한 지속적인 교육을 통해서 보안 의식을 향상 시키는 것으로 방지해 나가야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
조심하세요, 낮은 성공 확률로 벌어지는 크리덴셜 스터핑
국내 악성 봇 감염자의 접속 사이트 순위 (출처:로그프레소)크리텐셜 스터핑 피해 결과 그래프크리덴셜 스터핑크리덴셜 스터핑(Credential Stuffing)은 최근 온라인 보안에 큰 위협으로 부상하고 있는 방법 중 하나입니다. 이는 다크웹 등 다양한 온라인 플랫폼에서 유출된 아이디와 패스워드를 악의적인 목적으로 활용하여 무차별 대입을 자동화 시킨 악성 봇을 이용한 공격 기술입니다.작년 11월 한 달 동안 국내에서 탐지된 악성 봇 감염이 전월대비 54.62% 증가했으며, 전 세계 통계 43.04%보다 11.58%p 높습니다. 이를 통해 자격증명 탈취로 유출된 개인정보를 이용하여 최근, 인터파크(78만 여건)와 워크넷(23만 여건) 그리고 한국장학재단(3만 2천여 건)을 포함한 여러 기관 및 기업에서 수많은 피해 결과가 나왔습니다. 이러한 사례들은 크리덴셜 스터핑을 이용한 계정 탈취 공격의 심각성을 환기 시켜 주고 있습니다. 기술 환경의 발전과 함께 이러한 공격은 점차 더 정교해지고 있으며, 크리덴셜 스터핑을 탐지하고 예방하기가 점점 더 어려워지고 있다는 것을 의미합니다.크리덴셜 스터핑의 작동 원리크리덴셜 스터핑 공격 분석 크리덴셜 스터핑 공격은 악성 공격자가 대상 웹 사이트나 앱 그리고 다크웹에 유출된 아이디와 비밀번호 등의 개인 정보 데이터를 대량으로 구매하거나 수집합니다. 획득한 개인정보를 컴파일해 크리텐셜 목록을 생성합니다. 보통 이러한 목록을 이용해 자동화된 스크립트를 제작, 자동화된 봇을 통해 수많은 범용 사이트에 로그인 시도를 하게 됩니다. 이 과정을 스터핑이라고 부르며, 사용자 중 일부는 여러 사이트에서 동일한 아이디나 비밀번호를 사용하는 경향이 있어 일부 시도가 성공할 수 있습니다. 공격자가 계정 로그인에 성공하게 된다면 계정 정보를 통해 개인정보를 훔치거나 가상자산 정보를 악용해 금전적 이익을 취할 수도 있습니다. 또한, 불법적으로 검증된 인증 정보를 다크웹에서 다른 범죄자에게 판매할 수도 있습니다. 그리고 이 과정에서 획득한 정보를 기반으로 피싱, 스피어 피싱 등의 추가적인 공격을 시도할 수도 있습니다. 이러한 공격들은 개인의 프라이버시와 보안뿐만 아니라 해당 개인이 속한 기업의 보안도 위협하는 심각한 위험을 초래할 수 있습니다.결론크리덴셜 스터핑은 개인 정보 유출로부터 대량의 아이디와 비밀번호를 획득하여 계정을 탈취하는 공격으로, 자동화된 봇 사용이 활발해지며 공격 횟수가 늘어나고 있습니다. 한번 유출된 정보는 다른 유형의 범죄에도 악용되어 개인과 기업의 보안에 심각한 위협을 초래할 수 있습니다크리덴셜 스터핑 방지 방법 • 로그인 인증 시 MFA을 사용하여 추가적인 인증 단계를 통해 공격자가 도용한 계정 정보로 접근하지 못하게 해야합니다. • 봇을 방지하는 CAPTCHA 로그인 기능이 구현을 하여 다수의 웹사이트 로그인 폼에 대입하는 시도를 방지 해야합니다. • 비밀번호 설정은 복잡하고 길게 설정하여 사이트 마다 다르게 암호로 설정하며, 주기적으로 변경을 해야합니다. • 사용자들에게 보안의 중요성을 교육하고, 피싱 공격이나 악성 소프트웨어에 대한 인식을 높입니다. • 자주 사용되는 취약한 암호나 이전 유출된 정보를 포함한 암호를 블랙리스트에 등록하여 비밀번호 설정이 안되게 해야합니다. • 털린 내 정보 찾기 서비스로 자신의 계정정보 유출 여부를 확인 후 변경해 2차적인 피해를 예방할 수 있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 32명 참여