통합검색
'' 검색결과는 총 127 건 입니다.
2022년 ~ 2023년 월별 BEC 이메일의 공격량( 출처 : trustwave )악성 이메일의 유형별 위협 ( 출처 : slashnext )BEC 공격이란BEC는 Business Email Compromise의 약자로 비즈니스 이메일 침해 공격이라는 뜻입니다. 공격자가 기업을 표적으로 삼아 회사를 속이고, 전 세계 모든 산업 분야의 모든 규모의 조직을 대상으로 하며, 파트너에게 송금을 정기적으로 보내는 회사 직원들을 대상으로 하는 지능형 이메일 사기입니다. 대량의 메일을 무작위로 보내는 피싱 메일과는 달리 특정 타깃을 정해 일정기간동안 회사 프로세스와 절차, 메일 내용까지 정보를 수집하여 분석 후 메일을 보내기 때문에 탐지가 쉽지 않아 현존하는 피싱 공격 중 피해 규모가 가장 큽니다.신뢰하는 고객이나 협력사의 이메일 주소 중 하나를 살짝 바꿔서 마치 고객이나 협력사, 또는 내부 직원인 것 처럼 메일을 보내 가짜 청구서의 지불 또는 다른 사기에서 사용할 중요한 데이터를 요구합니다. 2023년 악성메일의 타입별 위협 조사 결과에서는 피싱메일이 2022년 4분기부터 2023년 3분기까지 967% 증가하였고, 그중 텍스트 기반 및 BEC공격이 피싱 메일 공격 중 68%를 차지하였습니다.2023년 상반기 상위 BEC 유형 통계BEC 공격의 유형 2023년 집계된 통계에서는 공격 중 절반이 급여와 관련된 주제를 사용하고 있음을 보여줍니다. 급여와 관련된 전술은 공격자가 대상 회사의 직원인 것 처럼 가장하여 급여를 자신의 은행 계좌로 변경하려고 시도하거나, 긴박한 상황을 조성하기 위해 급여일에 맞춰 비용을 지불해야하는 상황이라거나, 급여를 받지 못하면 밀린 대금을 지불 할 수 없다는 등 급여 관리자를 서두르게 만듭니다.개인 연락처를 요청하는 문의 이메일은 여전히 널리 사용되고 있으며, 급여 다음으로 높은 순위를 차지하는 주제입니다. 공격자는 이메일을 첫번째 연락지점으로 활용하여, 공격대상을 성공적으로 속이고 전화번호나 메신저 등 수신자의 연락처 정보를 얻어 대화의 탐지를 피할 가능성이 더 높은 모바일로 공격대상을 유인합니다.다음으로는 긴급한 업무, 또는 업무에 대한 도움을 요청하면서 공격 대상에게 접근하거나, 공격대상이 사무실에 있는지 상태를 물어보는 간단한 메일을 보내어 접근을 시도합니다.BEC 공격의 수행 단계 ( 출처 : mdpi )BEC 공격의 공격 방식첫번째로 공격자는 잠재적인 피해자의 취약점을 조사하고 조사결과를 바탕으로 어떻게 활용할 것인지 결정합니다. 이후 웹 검색을 통해 조직의 구성을 식별하고 조직 내 개인을 공격 대상으로 설정합니다. 공격자는 이전에 조사한 자료를 통해 이메일을 조작하여 보냅니다. 스푸핑, 유사 도메인, 가짜 이메일 이름과 같은 전술을 활용하여 악의적인 의도를 식별하기 어렵습니다. 마지막으로 CEO나 재무부서 내의 다른 개인과 같은 회사 내부 개인을 사칭하여 공격자가 개인과의 신뢰를 성공적으로 구축하고, 금전적 이득이나 데이터를 침해합니다.BEC 공격은 표준 사이버 방어로 분석할 수 있는 악성 코드나 악성 URL을 사용하지 않고, 공격의 표적 특성과 사회 공학 기술을 사용하여 사람들을 속이기 때문에 탐지 가 쉽지 않아 공격을 조사하는것과 해결하는 것을 어렵고 시간이 많이 걸리게 만듭니다. BEC 사기는 도메인 스푸핑, 유사 도메인 등 다양한 사칭 기술을 사용하며, 도메인 오용과 도메인 스푸핑을 차단하는 것과 추가적으로 모든 잠재적인 유사 도메인을 예측해서 막는것은 쉽지 않습니다.결론BEC 공격은 내용이 짧고 조직내의 한 명의 직원으로 위장합니다. 시간이 지남에 따라 이러한 공격은 훨씬 더 정교한 사회 공학 기술이 사용되어 끊임없이 진화하고 있습니다. 이처럼 끊임없이 진화하는 사회공학 수법에 맞서기 위해 조직은 기술 및 인적 사이버 보안 방어를 강화해야 합니다.BEC 공격으로부터 보호하는 방법• BEC 공격은 조직의 직원을 표적으로 삼기 때문에 이메일 보안 인식 교육은 사이버 보안에 필수적입니다. BEC 공격을 식별하고 대응하는 방법에 대한 직원 교육은 이러한 형태의 피싱 위협을 최소화 할 수 있습니다.• BEC 공격은 일반적으로 내부 이메일 주소의 도메인과 유사한 도메인을 사용하여 사용자를 속이려고 시도합니다. 회사의 외부에서 오는 전자메일은 따로 관리할 수 있도록 설정하면 공격으로 부터 보호하는 데 도움이 될 수 있습니다.• 직원들은 조치가 필요한 이메일에 응답하기 전에 이상여부를 눈으로 확인하는 습관을 들여야 합니다. 또한, 메일의 내용이 의심스러울 경우 빠른 전화통화만으로도 비정상적인 요청을 확인할 수 있습니다.• 일부 BEC 공격은 일부 직원의 해킹된 게정을 사용하기 때문에 성공합니다. 이는, 메일 시스템에 접근하는 모든 사람에 대해 2단계인증, 또는 다단계 인증을 통해 방지할 수 있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
악성 URL과 악성 QR코드의 식별비율 ( 출처 : websiteplanet )큐싱이란QR코드와 피싱의 합성어인 큐싱은 QR코드를 이용한 해킹을 의미합니다. 코로나 19 이후로 QR코드 활용 문화가 확산이 되면서 QR코드 사기인 큐싱 범죄가 늘고있습니다. 기존의 피싱수법들이 사용자들에게 널리 알려져 QR코드를 활용한 새로운 악성코드 유포, 개인정보 탈취 방식이 등장하였습니다.공격의 기본 요소는 해커가 이메일을 퍼뜨리는 공격과 다르지 않습니다. 그러나 QR코드의 경우는 시각적으로 구별하는 것이 거의 불가능 하여 정상 QR코드인지 알 수 있는 방법이 없습니다. 자료를 보면 69퍼센트의 사람들은 악성URL을 식별할 수 있었지만, 악성 QR코드는 오직 39퍼센트만이 식별할 수 있었습니다. 사실, 대부분의 사람들은 QR 코드를 통해 사기가 발생할 수 있다는 사실조차 모르고 어디를 가든지 스캔합니다. 때문에 이메일 기반의 피싱 공격보다 QR코드 기반 공격이 성공 가능성이 더 큽니다. 공격자는 정품 QR 코드를 악성 QR 코드로 교체하거나 전략적으로 악성 QR 코드를 공공 장소에 남겨 두어 이를 활용할 수 있습니다. 본문에 악성 QR 코드를 첨부한 큐싱 사례 ( 출처 : proofpoint )이메일을 통한 QR 코드 공격 과정( 출처 : proofpoint ) 피싱 메일을 이용한 큐싱 공격 과정첫번째로 사용자에게 피싱 메일을 보냅니다. 메일의 본문에는 수신자에게 모바일 장치로 QR 코드를 스캔하라는 내용이 담겨 있습니다. 메일 수신자가 QR 코드를 스캔하여 접속하면 미리 만들어 둔 가짜 사이트로 접속이 되며, 수신자를 속여 개인정보를 입력하도록 유도합니다. 이러한 공격은 재정적 손실, 데이터 침해 및 계정 손상으로 이어지며 추가적인 공격으로 이어질 수 있습니다.피싱 메일 안에는 악성 링크나 첨부파일이 포함되어 있지 않고 악성 QR 코드를 본문에 첨부하여 URL이 이메일에 노출되지 않습니다. 또한 QR코드가 포함되어 있다는 이유만으로 수신된 메일을 차단할 수 없기 때문에 악성 이메일 탐지를 회피할 수 있습니다. QR코드를 이용한 피싱 메일은 보호된 전자 메일 환경에서 사용자가 QR코드를 모바일 디바이스로 스캔함으로써 공격 환경을 이동합니다. 상대적으로 취약한 사용자의 모바일 디바이스환경으로 이동함으로써 공격의 성공률을 보다 높일 수 있습니다. 오프라인에서의 물리적 큐싱 공격 ( 출처 : qrcode-tiger ) 오프라인에서의 물리적 큐싱 공격 오프라인에서의 물리적 큐싱 공격 ( 출처 : qrcode-tiger ) 공격자는 QR 코드의 바코드에 악성 링크를 삽입합니다. 스캔 후 링크는 세부 정보를 요청하고 공격자가 정보를 훔칠 수 있는 페이지로 연결됩니다. 물리적 영역에서 악성 QR 코드는 기업 사무실, 기업 및 정부 서비스 지점의 벽에 있는 실제 QR 코드를 대체합니다. 물리적 QR 코드 피싱은 호텔, 쇼핑몰 및 등의 환경에서도 발생할 수 있습니다. 예를 들어, 병원이나 의료 센터에 있고 누군가가 벽에 QR 스티커를 부착했다고 가정합니다. 이 경우 일반 사용자는 해커가 붙이고 간 악성 QR 코드라고 생각하지 않을 것입니다.이러한 형태의 소셜 엔지니어링 공격이 사람들의 개인 데이터를 훔치려는 사이버 범죄자들 사이에서 인기를 얻고 있습니다. 악성 QR 코드를 스캔한 경우 공격자가 알려진 브랜드를 가장한 정상적으로 보이는 웹사이트와 로고를 만들기 때문에 큐싱 공격을 발견하기 어려울 수 있습니다. 또한 피해자의 장치에 멀웨어를 자동으로 다운로드하도록 구성하여 공격자가 중요한 정보를 훔치거나 장치를 제어할 수 있도록 할 수 있습니다. 결론QR코드는 이미 다양한 산업 분야에서 입증된 뛰어난 기술이지만, 이메일, SMS 및 기타 기술에 침투하는 피싱 수법과 마찬가지로 QR 코드 를 사용하여 순진한 모바일 사용자를 속이고 있습니다. 이러한 QR 코드 사기는 다음과 같은 간단한 팁을 따르면 피할 수 있습니다.큐싱 위협 예방 방법• 출처가 확실하지 않은 QR코드는 스캔하지 않는 것이 좋으며, QR코드를 스캔할 경우 웹 주소가 이상하지 않은지 한번 더 확인합니다.• 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고, 최신버전을 유지하는 것이 중요합니다.• QR코드로 들어간 사이트의 로그인, 개인 또는 금융 정보를 입력할 때에는 주의해야 합니다.• QR코드에서 앱을 다운받지 않습니다. 더 안전한 다운로드를 위해 휴대폰의 앱스토어를 사용합니다.• 아는 사람에게서 온 것으로 생각되는 QR코드를 받은 경우 해당 사람에게 연락하여 한번 더 확인합니다.• QR코드를 통해 결제를 완료하라는 통지를 받으면 회사 웹사이트에 전화하거나 접속하여 확인해 봅니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
2023년 9월 상위 랜섬웨어 그룹 (출처 : cyfirma) Cactus 랜섬웨어란 2023년 3월에 대규모 상업 조직을 표적으로 삼는 새로운 변종 랜섬웨어 Cactus 가 등장 하였습니다. 이 랜섬웨어의 고유한 이름인 Cactus는 이 랜섬웨어가 남긴 랜섬노트 Cactus.readme.txt파일 이름에서 유래되었습니다. Cactus는 Lockbit3, LostTrust, Alphv, Ransomedvc등과 함께 9월 상위 5개의 랜섬웨어 그룹 안에 속할 정도로 상당한 위협이 되었습니다. Cactus는 원격 사용자와 네트워크 간의 보안 연결을 설정하는데 사용되는 가상 사설망인 VPN 어플라이언스의 취약점을 악용하여 피해자의 시스템에 대한 초기 액세스 권한을 얻습니다. 이러한 취약점에는 소프트웨어 버그, 약한 암호화 프로토콜 등이 있습니다. Cactus는 다른 랜섬웨어와 마찬가지로 데이터를 훔치고 파일을 암호화는 일반적인 방법을 사용하지만, 탐지를 피하기 위해 다른 방법을 추가하였습니다. 배치스크립트와 7-Zip을 이용한 암호화를 사용하여 바이너리를 보호함으로써 백신 소프트웨어를 통한 바이러스 탐지를 어렵게 합니다. Cactus 랜섬웨어의 공격 기법, 절차( 출처 : Kroll )Cactus 랜섬웨어가 시스템을 감염시키는 방법 Cactus 랜섬웨어는 VPN 어플라이언스의 알려진 취약점을 활용하여 네트워크에 대한 무단 액세스 권한을 얻습니다. 이러한 취약점을 통해 랜섬웨어는 대상 시스템에 침투하는 길을 찾습니다. 네트워크 내부로 들어가면 Cactus 랜섬웨어는 한 장치에서 다른 장치로 이동하면서 측면으로 확산됩니다. 네트워크 보안의 약점, 취약한 비밀번호 또는 패치 되지 않은 소프트웨어를 활용하여 여러 시스템에 대한 제어권을 얻습니다. Cactus는 Chisel, Rclone, TotalExec 및 Scheduled Tasks와 같은 도구를 사용하여 공격 활동을 수행합니다. Chisel은 공격자가 초기 침투에 성공한 장치와의 통신을 하는 것을 은폐하고, msiexec.exe를 사용하여 바이러스 백신 소프트웨어를 제거합니다. Rclone은 클라우드 스토리지 솔루션으로, 민감한 데이터를 클라우드 저장소로 전송 합니다. TotalEXec.ps1이라는 스크립트와 psExec를 사용 하여 관리자 계정 설정 및 랜섬웨어 페이로드 추출 등 배포 설정을 자동화 합니다. Cactus의 랜섬노트 ( 출처 : salvagedata ) Cactus 랜섬웨어의 암호화 과정 블랙리스트에 없는 탐색된 각 디렉터리에 랜섬노트를 생성하고 파일의 경로를 표준화된 형식의 경로로 변환합니다. 파일이 암호화에서 제외된 디렉터리에 속해 있는지, 제외된 파일인지, 제외된 파일 확장자를 가지고 있는지 확인합니다. 이러한 조건 중 하나라도 해당되면 파일을 건너뛰고 다음 파일로 진행합니다. 어떤 조건도 충족되지 않으면 단계에 따라 파일을 암호화 합니다. 암호화할 파일의 이름에 확장자.cts0을 추가합니다. AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화하고, 키는 RSA-4096 암호화 알고리즘을 사용하여 암호화됩니다. 원본 소스 파일을 암호화된 버전으로 바꾸고 파일 확장자를 .cts0에서 cts1로 변경 합니다.Cactus의 랜섬노트 Cactus.readme.txt에는 암호화된 메시징 플랫폼인 TOX.chat을 통해 공격자와 협상할 수 있는 방법에 대한 정보가 포함되어 있으며, 암호화된 파일을 복구하기 위한 암호 해독키를 대가로 몸값을 지불하라는 지침과 요구사항이 포함되어 있습니다. 결론 랜섬웨어는 수년 동안 모든 규모의 기업에 가장 큰 위협 중 하나였으며, Cactus 랜섬웨어는 위협 행위자가 최선의 방어 수단을 뚫으려고 계속해서 진화하는 방식을 보여주는 예시 중 하나입니다. 모든 새로운 방어 메커니즘을 통해 사이버 위협 환경은 점점 더 정교해지고 있습니다. 따라서 새로운 위협을 파악하여 징후를 인식하고 시스템을 적절하게 방어하는 것이 중요합니다.Cactus 랜섬웨어의 공격을 방지하는 방법• 출처를 알 수 없는 이메일의 첨부파일을 열지 않습니다. • 안전하다고 확신하지 않는 한 광고를 클릭하지 않습니다.• 의심스러운 웹사이트에 접근하거나 파일을 다운받지 않습니다.Cactus 랜섬웨어에 감염 되었을 경우• 인터넷 연결을 끊고 연결된 모든 장치를 제거하여 감염된 컴퓨터를 격리합니다.• 시스템을 다시 시작하거나 종료하지 않고, 랜섬노트의 스크린샷, 위협 행위자와의 통신, 암호화된 파일의 샘플, 드로퍼 파일, 등 공격 에 대해 가능한 모든 정보를 수집하여야 합니다. 이는 전문가가 데이터를 해독하거나 작동방식을 이해하고, 공격자를 찾는 것에 도움이됩니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
<2023년 5월 상위 랜섬웨어 그룹><LostTrust 랜섬웨어의 표적이 된 국가>LostTrust 랜섬웨어란위협적인 최신 랜섬웨어 중 하나는 2022년에 출시되어 제한된 수의 12명의 피해자를 기록한 후 자취를 감춘 랜섬웨어인 MetaEncrypotr의 리브랜딩으로 여겨지는 LostTrust입니다.LostTrust의 주요 목표는 데이터를 암호화 하여 피해자가 액세스할 수 없도록 하는 것 입니다. LostTrust는 MetaEncrypotr와 거의 동일한 데이터 유출 사이트 및 암호화 콘솔을 사용하지만 피해자의 수가 더 많고 보다 공격적인 전략을 가지고 있습니다.최근 상위 랜섬웨어 그룹에서 79명의 피해자에게 영향을 미친 Lockbit3의 뒤를 53명의 피해자에게 영향을 미친 LostTrust가 바짝 쫓았습니다. LostTrust 랜섬웨어는 여러 산업을 표적으로 삼으며, 의료 및 교육기관에 대한 공격도 포함이 되었습니다. 미국을 표적으로 한 공격이 많았으며, 선진국의 귀중한 데이터와 리소스를 활용하여 재정적 이익을 극대화하기 위한 것으로 보입니다. <LostTrust 암호화 콘솔 (출처:medium)><LostTrust에 의해 암호화된 파일들 (출처:howtofix)>LostTrust 암호화암호화는 특정한 경로를 암호화는 –-onlypath와, 공유된 네트워크를 암호화 하는 –-enable-shares를 통해 실행이 됩니다. LostTrust 랜섬웨어는 피싱 이메일, 악성 첨부 파일, 가짜 소프트웨어 업데이트, 손상된 사이트 등 다양한 방법을 통하여 전달될 수 있으며, 장치가 감염이 되어 암호화가 시작이 되면 암호화 프로세스 의 현재 상태를 표시하는 콘솔이 열립니다. 암호화 콘솔에 METAENCRYPING 문자열을 통해 LostTrust 암호화 콘솔이 MetaEncrypotr의 암호화 콘솔을 수정하여 사용하고 있다는 것을 알 수 있습니다.LostTrust 랜섬웨어는 Windows 장치를 대상으로 하며, 문서, 이미지, 비디오, 데이터베이스, 아카이브 등과 같은 다양한 유형의 파일들을 암호화 합니다.LostTrust가 실행이 되면 수많은 Windows 서비스를 비활성화 하고 중지하여 모든 파일을 암호화 할 수 있도록 합니다. 또한 Microsoft Exchange와 관련된 추가 서비스를 비활성화 하고 중지합니다. 파일을 암호화 할 때 암호화 콘솔은 암호화 된 파일 이름에 .losttrustencoded 확장자를 추가합니다. 결론LostTrust 랜섬웨어는 데이터를 암호화 하고 암호 해독 키에 대한 몸값을 요구하는 새로운 랜섬웨어 입니다.몸값을 72시간 이내에 지불 하지 않으면 데이터 유출 사이트에서 데이터가 유출 될 가능성이 있으며, MetaEncrypotr와 거의 동일한 데이터 유출 사이트와 암호화 콘솔을 사용하는 MetaEncrypotr의 리브랜딩 랜섬웨어로 여겨집니다. 이 위협으로부터 보호하기 위해서는 아래와 같은 방법들이 있습니다.LostTrust 랜섬웨어로 부터 데이터를 보호하는 방법• 데이터를 외장 드라이브 또는 클라우드 서비스에 정기적으로 백업합니다.• 바이러스 백신 소프트웨어를 사용하고 정기적으로 업데이트 하며, 장치에서 맬웨어 또는 의심스러운 활동이 있는지 검사합니다.• 온라인 계정에 강력한 암호를 사용하고 주기적으로 변경하며, 중요한 서비스에 대해 2단계 인증을 설정합니다.• 오래되거나 지원하지 않는 소프트웨어 버전을 사용하지 않으며, 응용 프로그램과 시스템을 정기적으로 업데이트 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2022년 Infostealer 멀웨어 상위 제품들의 분포(출처 : magnetforensics)2022년과 2023년 Infostealer 멀웨어의 분기별 피해량 (출처 : Uptycs)Infostealer 멀웨어Infostealer 멀웨어는 네트워크나 시스템에 몰래 침투하여 민감한 정보를 훔치는 악성 소프트웨어 입니다. 개인정보, 금융자격증명, 로그인 자격증명, 웹 검색 기록 등 악의적인 목적으로 사용될 수 있는 중요한 데이터를 은밀하게 훔칩니다. 이는 신원 도용, 금전적 손실, 중요한 데이터에 대한 무단 액세스로 이어질 수 있어 개인, 기업, 조직에 심각한 위협이 됩니다. 2023년 1분기에는 지난해 같은 분기에 비해 Infostealer의 피해량이 2배 이상 증가한 것으로 나타났습니다. 누구나 다크웹에서 Infostealer 멀웨어를 싼 값에 구할 수 있고, 높은 수준의 기술이나 지식이 필요하지않아 쉽게 배포 할 수 있는 점과 텔레그렘과 같은 암호화된 통신 플랫폼에서 도난당한 데이터를 사고 팔 수 있어 빠르게 증가하게 2022년과 2023년 Infostealer 멀웨어의 분기별 피해량 ( 출처 : Uptycs ) 되었습니다. 피싱 메일을 통한 Infostealer 전달과정 (출처 : calyptix)피싱 이메일을 통한 Infostealer 멀웨어 전달 방법 피싱 이메일은 악성 첨부파일을 다운로드 하도록 유도합니다. 가장 일반적인 유형의 악성 첨부 파일은 .doc, .zip 파일로 나타납니다. 메일에 내용에는 첨부파일을 열도록 유도하는 내용이 포함되어있습니다. 또한 합법적으로 보이는 사이트에 대한 링크가 포함된 이메일을 생성하여 자격 증명 손실 또는 멀웨어 설치를 유도합니다. 사용자가 안전하지 않은 웹 사이트를 로드하는 이메일의 링크를 클릭하면 웹 페이지는 공격자에게 기밀 정보에 대한 엑세스 권한을 부여하는 자격증명을 요청하거나, 사용자의 컴퓨터에 멀웨어를 다운로드 합니다. 악성콘텐츠를 통한 Infostealer 멀웨어 침투 (출처 : silentpush) 악성 광고를 통한 Infostealer 멀웨어 침투 (출처 : mayinmavachhcm)광고와 소셜미디어를 통한 Infostealer 멀웨어 전달 방법비즈니스에서 주로 사용하는 정식 소프트웨어에 관심이 있는 사용자를 노려 정상으로 보이는 광고를 제출한 후, 평판이 좋은 웹 사이트에 노출시키거나, 검색엔진 결과 상단에 악성 사이트에 대한 링크를 유료로 삽입하여 사용자의 클릭을 유도 합니다. 사용자가 클릭하면 소프트웨어를 다운받는 웹 사이트로 연결되어 사용자가 멀웨어로 위장한 소프트웨어를 다운받게 됩니다. 다른 방법으로는 평판이 좋은 소셜 미디어 계정을 이용하여 악성 웹사이트로 사용자를 안내하는 자료를 게시합니다. 사용자는 아무 의심없이 악성 사이트를 방문하고, 멀웨어는 사이트에서 다운로드되어 사용자가 무의식적으로 실행하도록 합니다 결론Infostealer는 기술에 익숙하지 않은 범죄자가 기업 및 개인 사용자의 시스템을 손상시킬 수 있는 효과적인 방법입니다. 많은 기업들이 하이브리드 작업에 의존하고 전자적으로 비즈니스를 수행하는 새로운 방법을 찾고 있음에 따라 Infostealer의 위험 은 앞으로 더욱 심각하고 증가할 것입니다.Infostealer의 위협을 완화하기위한 방법은 아래와 같습니다.• 장치에 바이러스 및 멀웨어 방지 소프트웨어를 설치하고 최신버전의 상태로 유지하여 위협을 탐지하고, 차단합니다.• 운영 체제, 응용프로그램 및 소프트웨어를 정기적으로 업데이트하여 보안 취약성을 패치 합니다.• 알 수 없거나 의심스러운 출처에서 온 이메일의 첨부 파일을 다운로드 하거나, 링크를 클릭할 때는 주의해야 합니다. • URL에 HTTPS가 있는 보안 웹 사이트를 선택하고, 민감한 정보를 온라인으로 입력할 때는 주의해야 합니다. • 직원과 사용자는 피싱 및 사회 공학 기술에 대해 인지하여, 이러한 공격에 당하지 않도록 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
<Rhysida 랜섬웨어의 표적분야 (출처 : check point research)><Rhysida 랜섬웨어의 표적 국가 (출처 : socradar)> Rhysida 랜섬웨어2023년 5월 자신을 네트워크 및 시스템 내에서 보안 약점을 찾아주는 사이버 보안 팀 으로 설명하는 랜섬웨어 Rhysida가 처음 발견되었습니다.피해자의 대부분은 미국, 영국, 이탈리아, 스페인 오스트리아 에 거주하였으며, 이전에는 교육, 정부, 제조, 기술 산업 등을 표적으로 삼는 것으로 알려진 Rhysida는 최근 도덕적 갈등때문에 대부분의 랜섬웨어 그룹이 피하는 의료 및 공중 보건 조직도 공격하기 시작하였습니다.Rhysida 랜섬웨어 그룹의 유명한 피해로는 칠레 육군에 대한 공격과, 미국 전역의17개의 병원, 166개의 클리닉에 영향을 미친 공격에 연관이 있어, 미국 보건복지부가 Rhysida 랜섬웨어를 의료 부문에 큰 위협으로 지정한 사건이 있습니다. <Rhysida 랜섬웨어의 공격 과정 (출처 : trendmicro)><Rhysida 랜섬웨어의 공격 과정 (출처 : trendmicro)> Rhysida 랜섬웨어의 공격 과정 Rhysida 랜섬웨어는 일반적으로 피싱을 통해 피해자의 컴퓨터에 접근한 후, 시스템 내 Cobalt Strike를 사용하여 측면 이동을 합니다. 그리고, PsExec을 실행하여 PowerShell 스크립트와 Rhysida 랜섬웨어의 페이로드를 배포하고, Trojan.PS1.SILENTKILL.A로 탐지된 PowerShell 스크립트 g.ps1은 공격자가 바이러스 백신 관련 프로세스 및 서비스 종료, 원격 데스크톱 프로토콜 구성 수정, 디렉토리 암호화를 활성화 합니다.암호화에는 4096비트 RSA키와 AES-CTR을 사용하며, 암호화에 성공하면 .rhysida로 확장자명이 변경이 되고, 랜섬노트인 CriticalBreachDetected.pdf를 생성합니다. pdf문서 파일에는 특정 Tor 웹 브라우저를 이용하여 Rhysida 홈페이지 접속을 유도하고, 암호화 해제 협상을 위해 랜섬 노트에 제공된 고유 토큰을 사용하여 연락합니다. <Rhysida 랜섬웨어 암호화 알고리즘 (출처 : secplicity)><Rhysida 랜섬웨어 암호화에 제외할 디렉터리 목록 (출처 : secplicity)> Rhysida 랜섬웨어의 암호화 과정 1. init_prng(&prng, &PRNG_IDX)Chacha20의 특성을 정의합니다. 2. RSA-4096 공개 키를 가져옵니다.3. AES 암호화 암호를 등록합니다. 4. 다음으로 설정된 CIPHER 상수를 정의합니다.5. CHC(Cipher Hash Construction) 해시 유형을 등록하여 사용자가 블록 암호를 사용하고 이를 해시 함수로 변환할 수 있도록 합니다.6. AES를 CHC 해시의 블록 암호로 등록합니다.7. HASH_IDX결과 CHC 해시에 대한 상수 세트를 정의합니다 . 암호화 제외 대상은 운영 체제가 작동하는데 필요한 대부분의 시스템 디렉터리와, .bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagp kg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .i ni Thumbs.db .url .iso .cab등의 확장자 입니다. 결론Rhysida 공격의 심각성을 고려할 때, 조직이 시스템과 데이터를 보호하기 위한 사전 조치가 중요합니다. Rhysida 랜섬웨어를 방어하기 위한 몇 가지 보안 권장 사항은 다음과 같습니다.1. 최소 권한 원칙 사용자 및 애플리케이션의 액세스 권한을 최대한 제한합니다. 이를 통해 랜섬웨어가 파일을 암호화하거나 네트워크 전체에 확산되는 데 필요한 액세스 권한을 얻는 것을 방지할 수 있습니다.2. 네트워크 분할 네트워크를 분할하면 네트워크의 한 부분이 손상된 경우 랜섬웨어의 확산을 제한할 수 있습니다.3. 방화벽 및 침입 탐지 시스템의 사용방화벽 및 침입 탐지 시스템은 의심스러운 활동을 탐지하고 차단하는 데 도움이 되며 잠재적으로 심각한 피해를 입히기 전에 공격을 중지할 수 있습니다. 4. 피싱 인식 교육 Rhysida는 랜섬웨어를 전파하기 위해 피싱 캠페인을 자주 사용하므로 모든 직원에게 정기적인 피싱 인식 교육을 제공하여 피싱 시도를 인식하고 방지하는 데 도움이 될 수 있습니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
간호사 호출 시스템, 주입펌프 등 최대 사이버 보안 위험
<글로벌 의료 커넥티드 디바이스 시장의 성장 예상 그래프( 출처 : appinventiv)><의료 부문 IoMT 장치의 취약점 분석> 의료 기관 커넥티드 디바이스의 사이버 보안 최근 몇 년 동안 의료 부문 전반에 걸쳐 기술 발전이 가속화 되었습니다. 이러한 기술 혁신의 물결로 인해 환자의 치료 개선과 만족도를 높이는 등의 장점도 있지만, 의료 업계가 사이버 보안 공격에 표적으로 노출 될 위험이 커졌습니다. 7만 개 이상의 IoMT 장치를 배포할 것으로 예상되며, 이는 2021년보다 훨씬 증가한 수치입니다. IoMT 장치의 데이터를 포괄적으로 분석한 결과, 간호사 호출 시스템이 39%의 패치되지 않은 심각한 취약점을 가지고 있어 의료부문에서 가장 위험한 IoMT 장치로 나타났습니다. 두번째로 위험한 IoMT 장치는 주입 펌프로, 27%의 패치되지 않은 심각한 취약점을 가지고 있다고 나타났습니다. 세번째로 위험한 IoMT 장치는 약물 분배 시스템으로 4%가 패치되지 않은 심각한 취약점을 가지고 있다고 나타났습니다. 또한 약물 분배 시스템의 32%는 지원되지 않는 Windows 버전에서 사용이 되고 있으며, IoMT 의료기기의 19%가 지원되지않는 OS 버전에서 사용이 되는 것으로 나타났습니다. 의료 기관 커넥티드 디바이스 공격 방식의료기관의 커넥티드 디바이스를 대상으로한 공격 특성으로는 상대적으로 보안이 취약한 의료기기를 점유해 병원 내부를 침투, 구형 OS, SW가 탑재된 의료기기 공격을 위해 오래된 취약점 활용, 병원 전용 네트워크 프로토콜 등의 특수한 네트워크의 특성과 취약점을 이용한 공격 등이 있습니다. 주요 단계로는 단말의 보안 취약점을 이용하여 단말에 침투해 권한을 획득하는 단말 침투 및 권한 상승 단계, 침투한 기기에 시스템과 네트워크 환경을 분석하여 공격 대상으로 할 것인지, 공격 경로로만 활용할 것인지 결정하는 동작 단계, 다른 기기로 확산을 위한 확산 단계로 구분할 수 있습니다. 의료 기관 커넥티드 디바이스 보안 취약 요인 병원에 설치된 대부분의 의료기기들은 고가의 장비이고, 교체주기가 길지 않아 구형 운영체제가 탑재 된 경우가 많습니다. 또한 사람의 생명, 건강이 직결된 의료기기의 특성상 고가용성이 요구되기 때문에 운영체제와 소프트웨어의 패치 및 업데이트, 백신 등의 보안 모듈의 추가 설치가 자유롭지 않습니다. 제조일, 모델, 제조사가 모두 다른 의료기기와 장비에서 취약점을 찾는 일은 매우 어려운 일입니다. 추가적으로 유무선 네트워크에 연결된 의료 기기들이 증가하는 추세라서 그에 대한 위협도 같이 증가하는 추세입니다. 결론커넥티드 디바이스의 수와 다양성이 증가함에 따라 의료 기관은 노출된 위험을 이해하고 관리해야 하는 새로운 과제를 안게 되었습니다. 공격자는 의료기기가 아닌 다른 범주의 장치를 활용하여 공격을 수행 할 수 있으므로 한 범주의 장치에만 방어를 집중하는 것만으로는 충분하지 않습니다. 의료 기기 뿐만 아니라 의료 환경에서 볼 수 있는 모든 커넥티드 디바이스는 공격을 수행 할 수 있는 잠재적인 통로가 될 수 있습니다. 의료 기관 커넥티드 디바이스의 보안은 개발 단계에서 보안기술을 내재화 하는 전략과 기존에 설치, 운용되고 있는 의료기기의 보안에 취약한 위협 대응으로 접근하여야 합니다.사이버 공격에 대비하기 위한 첫 번째는 보유하고 있는 모든 다양한 유형의 장치에 대한 목록을 작성, 각 장치와 관련된 위험 수준을 평가하고, 위험을 시각화 하여 모든 임상 자산을 능동적이고 지속적으로 보호할 수 있도록 하여야 합니다. 두번째는 커넥티드 디바이스를 투자할때 암호화 및 다단계 인증을 포함한 최신 보안 기능으로 제조된 제조 제품을 사용하고, 장치의 위험 수준에 따라 우선순위를 정할 수 있는 전용 사이버 보안 전략을 구현하여 공격에 대비하여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Tor의 역사인터넷은 인터넷만 있으면 어디든지 소통이 가능하단 장점이 있지만, 프라이버시를 보장하지 않아서 언제든지 기록과 트래킹이 가능했습니다. 미국 정부는 프라이버시를 매우 중요시 하여 미해군 연구소에서 The Onion Routing 이라는 신기술을 개발하였고 이 기술은 웹 페이지에 방문하더라도 완벽한 익명성을 보장 하도록 하였습니다. 기술의 치명적 단점으로는 미국 정부만 Tor 네트워크를 사용하여 사이트에 Tor를 이용한 연결 신호가 들어오면 미국정부 사람이 사이트를 본 것을 들키기 쉬웠습니다. 그래서 사람들 사이에 미국정부가 섞여 들어갈 수 있도록 대중에게도 무료 배포되어 현재 수십만 명의 사람들이 사용하고 있습니다. Tor Browser Tor는 The Onion Router의 약칭으로, Tor Browser는 사용자가 IP 주소를 숨기고 트래픽을 암호화하여 익명으로 웹을 탐색할 수 있는 특수 웹 브라우저입니다. 익명성으로는 서버에 로그가 남을 가능성이 있는 VPN보다 안전하며, 최근 NSA에서 VPN을 패킷 단위로 분석할 수 있다는 발표가 있어, 현재 정보 기관으로부터 안전한 네트워크는 극 소수 밖에 없는데, Tor가 그중 하나 입니다. Tor는 또한 표준 검색 엔진에 의해 색인이 생성되지 않거나 일반 브라우저를 통해 액세스할 수 없는 다크 웹으로 알려진 특수 도메인에 액세스하는 데 사용될 수 있습니다. 지역 언어팩을 제공하는 Tor 설치 프로그램(출처 : bleepingcomputer)악성 Tor Browser가 멀웨어 페이로드를 추출하고 실행하는 과정(출처 : hackread)Tor Browser 클립보드 인젝션 설치과정피해자는 타사 서버 에서 받은 Tor Browser 설치파일을 실행합니다. 설치 프로그램의 이름은 torbrowser.exe가 아닌 torbrowser_ru.exe 같은 이름으로 현지화 되어 있으며 사용자가 원하는 언어를 선택할 수 있는 언어 팩이 포함되어 있습니다아카이브에는 다음 파일이 포함되어 있습니다. •Torbrowser.exe 설치 프로그램 •명령줄 RAR 추출 도구 •암호로 보호된 RAR 아카이브torbrowser.exe 설치를 시작하는 동시에 내장 암호로 보호된 RAR 아카이브에서 RAR 추출 도구를 실행합니다. 암호로 보호하는 목적은 바이러스 백신 솔루션에 의한 정적 서명 검색을 피하기 위해서 입니다.대부분의 경우 실행 파일은 uTorrent와 같은 인기 있는 응용 프로 그램의 아이콘으로 위장됩니다. 주소를 감지하고 교체하는 정규식(출처 : grahamcluley)클립보드 인젝션 실행 과정 보통 암호 화폐 주소는 길고 입력하기가 복잡하기 때문에 클립 보드에 복사한 다음 다른 프로그램이나 웹사이트에 붙여넣는 것이 일반적입니다. 멀웨어는 정규식을 사용하여 클립보드에서 인식 가능한 암호 화폐 지갑 주소를 모니터링하고, 사용자가 암호 화폐 주소를 붙여 넣으면 하드코딩된 목록에서 임의로 선택한 암호 화폐 주소로 대체됩니다. 공격자가 하드코딩된 목록에서 무작위로 선택된 각 멀웨어 샘플에 수천 개의 주소를 사용하는 것은 지갑 추적을 어렵게 만 듭니다. 결론클립보드 인젝션 공격은 겉으로 보기에는 단순하지만 보이는 것보다 더 많은 위험을 가지고 있습니다. 이는 코인의 도난과 관련되었을 뿐만 아니라 멀웨어가 수동적이고 탐지하기 어렵기 때문입니다. 스파이웨어와 랜섬웨어도 피해자의 장치와 공격자의 서버 간에 통신 채널이 필요합니다. 명령 및 제어 서버에 연결되지 않는 웜 및 바이러스도 여전히 네트워크 활동을 생성합 니다. 그러나 클립보드 인젝션은 암호화폐 지갑 주소를 복사해서 붙여넣을 때까지 몇 년 동안 사용자가 인지할 수 없으며 네트워크 활동이나, 다른 증상을 보이지 않을 수 있습니다. 멀웨어에 시스템이 감염되었는지 확인하는 방법(출처 : thehackernews)사용자가 감염되었는지 확인하는 간단한 테스트는 bc1heymalwarehowaboutyoureplacethisaddress를 복사하고 메모장을 열어 붙여넣기를 합니다. 기존에 복사했던 것이 아닌 다른 주소가 붙여 넣기가 되면 클립보드 인젝션 멀웨어에 의해 내 컴퓨터의 시스템이 손상되었다고 확인할 수 있습니다. 모든 클립보드 인젝션의 피해자는 Tor Browser의 공식 홈페이지가 아닌 다른 경로에서 설치를 하여 감염이 되었습니다. 따라서 신뢰할 수 있는 공식 출처의 소프트웨어만 설치하는 것이 좋습니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
락빗 랜섬웨어 조직, 한국 국세청 해킹했다. 해킹 파일 공개 예정 주장
2022년 7월 ~ 2023년 6월까지의 랜섬웨어 피해 통계 LockBit 랜섬웨어LockBit은 몇 년 동안 가장 눈에 띄는 서비스형 랜섬웨어 중 하나입니다. 서비스형 랜섬웨어는 해커가 랜섬웨어를 제작한 후 범죄집단에 판매하고, 공격자가 이를 구매해 유포하여 공격에 성공할 경우 수익을 나눠 가지며, RaaS라고도 불립니다.2019년 9월 5분 이내 암호화 프로세스를 배포 할 수 있는 능력으로 악명이 높았던 LockBit 1.0으로 첫 출시 이후 2021년 7월 LockBit 2.0이 출시되었고, 2022년 6월 LockBit 3.0을 출시하는 등 탐지를 피하기 위해 문자열과 코드를 더 빠르게 디코딩 하도록 지속적으로 진화했습니다. LockBit의 산업별 공격 대상 통계 또한, 클라우드 기반 서비스를 대상으로하는 LockBit Green과, Mac용 LockBit을 개발 하는 등 수익을 위한 다양한 전략을 보이며, 탐지를 회피하기 위해 수준 높은 해킹 기술을 이용합니다.2022년 7월부터 2023년 6월까지의 랜섬웨어 피해 통계에서는 LockBit에 의한 피해가 가장 높게 나왔고, 공격 사례와 피해도 매년 급속도로 증가하고 있습니다. LockBit이 가장 많이 공격하는 대상은 비즈니스 서비스이고, 다음으로는 유통 산업이 차지하였습니다. LockBit 3.0의 공격 방식LockBit에 공격받아 암호화 된 파일들(출처 : Cyble) 공격의 시작은 LockBit 3.0 랜섬웨어 악성코드를 유포하기 위해 링크를 삽입한 피싱 메일로 위장하여, 링크를 클릭해 파일을 실행하면 사용자의 자격 증명에 접근하고, 네트워크에 진입합니다.다른 방법으로는 무차별 대입 공격을 수행하거나, 취약점을 악용하기도 합니다. LockBit 3.0은 파일 암호화 후 사용자가 암호화 전 파일을 알아볼 수 없도록 오류가 발생할 수 있는 일부 확장자, 문자열 및 폴더를 제외하고 파일명을 7자리의 랜덤한 문자열로 변경하고, 확장자를 9자리의 랜덤한 문자열로 구성된 Personal ID로 변경합니다.암호화에 성공하기 위해 보안서비스와 특정 서비스를 무력화하고 사용자의 데이터 복원을 막아, 랜섬 노트를 통해 감염된 장치의 데이터를 복구하거나 유출을 막기 위해서는 몸값을 지불하라고 요구합니다. 결론국세청과 관련된 자료를 공개했다고 발표한 LockBit(출처 : Security Affaires) 각 기관과 기업들은 랜섬웨어에 감염되지 않도록 PC 취약점을 주기적으로 점검, 보안하고, 신뢰할 수 없는 메일의 첨부파일 실행을 금지, 업무 사이트 외 신뢰할 수 없는 웹 사이트의 연결을 차단하는 등 보안에 주의를 기울이는 것도 중요하지만,패턴기반탐지 솔루션과 행위 기반탐지 솔루션을 항상 최신 상태로 유지해 평상시에 자사 서비스가 공격당하거나 이상 징후가 있는지 주기적으로 모니터링하여 침해에 대응할 수 있는 프로세스를 구축하는 것 또한 중요합니다. 이와 같은 피싱이 발생할 경우, 공격 시도나 이상 징후에 대한 모니터링이 이루 어지지 않으면, 공격자의 협박에 속아 추가적인 피해가 발생할 수 있기에 주의를 기울여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
AXLocker 랜섬웨어랜섬웨어는 사용자의 동의 여부와 무관하게 사용자의 장치에 설치되어 암호화된 파일의 이름을 변경하거나, 파일에 확장자를 추가합니다.그러나 최근에 발견된 AXLocker는 암호화 된 파일의 파일 이름을 변경하지 않고 원본 파일명과 원본 아이콘을 그대로 사용하여 공격을하였습니다.또한 이중 갈취 기술을 사용하여 피해자의 장치에서 중요한 데이터를 빼낸 후 파일의 속성을 변경, 육안으로 발견되지 않게하거나 암호화가 완료된 후 팝업 창에 랜섬 노트를 표시하여 대가를 요구하는 등의 방법도 사용하고 있습니다.이처럼 이번에 새롭게 발견된 AXLocker는 컴퓨터 이름, 사용자 이름, 시스템 IP 주소, 시스템 UUID 및 Discord 토큰과 같은 데이터를 수집하여감염된 피해자의 디스코드 계정까지 도용하는 등 기존 랜섬웨어 보다 지능적이고 발전된 공격 방법을 가지고 있어 각별한 주의가 필요합니다.AXLocker는 자체 속성을 이용하여 자신을 숨길 수 있습니다. 다음으로 AXLocker 호출 startencryption() 함수로 타겟 디렉토리인 C드라이브로 들어가 콘텐츠를 암호화 합니다. 함수 내에는 디렉토리를 열거하여 파일을 검색하는 코드가 포함되어 있습니다.ProcessDirecory() 함수는 모든 C드라이브 에서 사용 가능한 디렉토리를 열거하여 파일을 검색하는 코드 입니다. 리스트에 있는 특정 디렉토리를 무시하고 건너뛸 수 있습니다.ProcessFile() 함수는 리스트에 등록된 파일 확장자와 비교하는 함수입니다. 리스트에 등록된 특정 파일 확장자를 대상으로 암호화를 진행합니다.Encryptfile() 함수는 안에 있는 AESEncrypt() 함수는 AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화 합니다. 암호화 된 파일의 수가 계산되고 나중에 서버로 전송이 됩니다.EncryptionFIle 매서드 안에서 볼 수 있는 이 새로운 암호화 루틴 은 SHA4 알고리즘을 사용해서 해시된 변수 password에 저장된 문자열을 가지고 옵니다. 이것과 처음 8바이트로 초기화된 솔트 를 사용하여 AES-256으로 파일을 암호화 하는데 사용할 256비트키를 만듭니다.공격자가 이러한 유형의 대칭 암호화를 사용하는 경우 일반적으로 임의의 암호 솔트를 생성하면 공격자만이 암호화에 사용되는 키를 알 수 있습니다.사용자가 데이터베이스를 열 때 만들어지는 파일인 확장자가 ldb인 파일을 검색하고, 이러한 파일에서 특정 정보를 검색하여 목록에 저장합니다.디스코드 토큰 외에도 사용자 이름, IP 주소, 및 시스템 UUID 등 더 많은 정보를 찾아 디스코드에서 제공하는 웹훅 기능을 악용하여 사용자의 PC에서 수집한 정보들을 공격자가 운영하는 디스코드 채팅 방으로 전송합니다.AXLocker에는 랜섬 노트가 포함된 팝업 창을 피해자에게 표시합니다. 랜섬 노트에는 48시간의 타이머가 포함되어 있고, 피해자가 돈을 지불할 때 까지 시간은 줄어듭니다. 보통의 공격자는 금전을 요구하며 요즘에는 비트코인 같은 가상 화폐로 거래를 하는 것으로 알려졌습니다.공격자에게 연락할 수 있도록 공격자의 고유ID와 탐지를 피하기 위해 익명의 이메일 제공업체 이메일 주소가 적혀 있습니다. 하지만 공격자에게 돈을 지불한 후에도 암호 해독 도구를 제공하지 않을 수 있으므로 공격자와 통신을 하는 것을 권장하지 않습니다.■ 결론랜섬웨어 AXLocker는 개인과 개인 Discord 계정을 대상으로 많은 공격을 시도하고 있습니다. 이러한 공격으로부터 발 생되는 피해를 최소화 할 수 있는 가장 좋은 방법은 일반 네트워크와 다른 물리적 오프라인 위치에 저장된 모든 데이터를 정기적으로 백업하고, 소프트웨어를 최신 상태로 유지하는 것입니다.또한 정기적으로 패치를 적용하고, 바이러 스 백신 소프트웨어를 사용하여 장치에 악성 소프트웨어가 있는지 감지할 수 있어야 합니다. AXLocker가 감염된 후에는 랜섬웨어가 훔친 디스코드 토큰을 악용하여 도난당한 Discord 계정의 소유자를 사칭하고 연락처에 대출을 요청하거나 멀웨어를 확산시키는 등의 2차 피해가 발생할 수 있기 때문에 디스코드 암호를 변경하여 추가 피해를 막아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
"엄마 게임하게 주민번호 좀" 무심코 알려줬다 싹 털렸다, 무슨 일?
3세~16세 어린이에게 가장 인기 있는 온라인 게임과 관련된 위협을 보여주는 통계입니다. 2021년에는 450만 건의 공격이 있었으며, 2022년에는 700만 건 이상 의 공격을 탐지하였고 이는 어린이를 노리는 공격이 전년도 보다 증가한 수치를 보여주었습니다.2022년에는 232,735명의 어린이가 이용하는 게임을 가장한 40,000개의 악성 파일을 발견하였습니다. 2021년과 2022년 사이에 사이버 범죄자들이 악용하는 가 장 인기 있는 게임의 타이틀은 Minecraft와 Roblox입니다. 이 두가지 게임은 어린이들에게 인기있는 게임입니다. 2022년에 Minecraft 플레이어를 가장 많이 표 적으로 삼았으며 약 140,515명의 사용자에게 영향을 미쳤습니다. 공격자는 또한 38,850명의 Roblox 사용자와 27,503명의 Among Us 게이머에게 영향을 미쳤습니다. Minecraft는 수년 동안 Mod를 공유하는 커뮤니티를 가지고 있었습니다. 이 게임은 물건과, 세계를 만드는 게임이며 특히, 많은 어린이들이 설치하는 게임 중 하나입니다. 하지만, Mod를 설치하는데 영향을 받는 플랫폼들에 악성 프로그램이 숨겨져 있을 수 있습니다.최근, Minecraft Mod를 설치하는데 사용되는 두 개의 유명한 플랫폼인 CurseForge와 Bukkit가 공격자의 표적이 되었습니다. 이러한 플랫폼의 API는 게이머가 설치한 Mod가 업데이트되면 자동으로 게임을 자동으로 업데이트 하므로 감염된 Mod를 다운로드하지 않은 사람도 영향을 받을 수 있습니다. 공격자는 Mod 개발자의 계정을 표적으로 정해 개발자의 계정을 해킹하여 Mod의 업데이트 버전에 악성 파일을 업데이트 하는 방식으로 공격하였습니다. 어린이들을 대상으로 하는 가장 일반적인 사회 공학 기술 중 하나는 게임 안에서의 화폐를 무료로 생성하여 주겠다는 제안입니다. 피싱 사이트 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 게임 내 화폐는 어린이들이 하는 게임 세계에서 매우 인기가 많아 무료 화폐를 받고 싶어합니다. 이러한 부분을 이용하는 것이 사이버 범죄자들이 어린이들을 표적으로 사용하는 전략입니다.게임 사용자 이름을 입력하고 원하는 게임 통화 금액을 선택하라는 요청으로 시작되어 정말로 화폐를 지급해 줄 것처럼 꾸밉니다. 다음으로, 사이버 범죄자들은 사용자에게 개인정보를 입력할 것을 요구합니다. 개인정보를 입력한 사용자는 더 이상 정보를 얻을 수 없으며, 링크 클릭 유도를 통해 악성코드를 전송합니다. 대부분의 어린이들은 사이버 보안에 대해 개념이 없기 때문에 공격자는 치밀한 계획을 세우지 않습니다. 인기 있는 어린이 게임인 브롤스타즈의 통화인 보석을 생성하는 한 피싱 사이트에서 사용자는 원하는 만큼 보석을 얻기 위해 네 가지 질문에 답해야 합니다.원하는 보석 수와 게임 내 이름뿐만 아니라 사용자는 온라인 게임 스토어에 연결된 이메일 주소와 비밀번호를 적어야 합니다. 어린이들이 이 데이터를 공유해야 하는 이유를 사이트 제작자는 설명하지 않습니다. 피해자의 이메일과 비밀번호를 소유한 공격자는 스토어 계정에 로그인하고 암호를 변경하여 탈취할 수 있습니다. 피싱 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 사이버 범죄 트릭을 구분 하기 어려운 아이들에게는 Minecraft 또는 Roblox로 위장한 멀웨어는 성인용 게임보다 3-4배 더 자주 설치되었습니다.이러한 어린이들을 대상으로 하는 공격은 사회공학 기술을 활용합니다.사회공학 기술 중 하나는 게임의 치트 및 Mod 설치 페이지를 만들어 아이들을 유도하고, 아이들에게 파일을 설치하기 전에 바이러스 백신을 비활성화를 하지 않으면 완벽하게 설치되지 않는다고 속여 감염된 소프트웨어가 탐지되지 않도록 합니다.다운로드 받은 파일은 압축파일로 되어있으며, 실행 파일은 피해자의 컴퓨터에 대한 전체 액세스 권한을 얻을 수 있도록 관리자 권한으로 실행을 유도합니다.피해자의 바이러스 백신이 비활성화 된 기간이 길어질수록 공격자는 많은 정보를 수집 할 수 있습니다. 자녀가 개인 컴퓨터를 사용하고 있다면 피해가 크지 않겠지만, 공인인증서와, 가족과 공유하는 컴퓨터라면 큰 피해를 입게 됩니다.■ 어린이를 온라인에서 안전하게 보호하는 방법 사이버 범죄자들은 공격 대상의 연령을 제한하지 않고 부모의 장치를 사용할 가능성이 있는 어린이들까지 공격합니다. 어린이들은 사이버 범죄와 같은 경험이나 지식이 거의 없고 가장 기본적인 속임수에도 쉽게 넘어갈 수 있습니다.부모는 자녀가 다운로드 하는 앱이 무엇인지, 기기에 신뢰할 수 있는 보안 장치가 있는지, 그리고 자녀에게 공식 웹 사이트에서 정식으로 돈을 주고 구매하지 않고 무료로 인기있는 게임을 내려 받으려고 할 때, 크랙된 소프트웨어 및 불법 프로그램을 설치할 때 피해자의 장치에서 로그인 정보나 암호와 같은 민감한 데이터를 수집할 수 있는 악성 소프트웨어에 노출이 될 수 있어 사이버 보안에 대해서 교육을 해야 할 필요가 있습니다.또한, 가족이 공유하는 컴퓨터라면 보안 소프트웨어를 최신으로 유지하여 취약점에 노출 되지 않게 하여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
HTML Smuggling이란?HTML Smuggling은 특수한 형식의 HTML 주석이나 HTML 태그 내에 악의적인 코드를 숨기고, 자바스크립트의 동적으로 실행되는 특성과 HTML5의 다양한 콘텐츠 형식을 지원하는 특성을 이용해 유저가 특정 HTML 페이지를 방문 시 자동으로 파일을 다운 받도록 하는 기법입니다.HTML Smuggling의 사용 목적보통 멀웨어와 같은 특정파일을 유포할 경우, 파일이나 문서를 첨부하여 사용자에게 실행을 유도하지만, 파일을 다운로드할 때 트래픽이나 특정 솔루션에 의해 탐지될 가능성이 있습니다. 하지만 HTML Smuggling은 파일의 내용을 직접 HTML 코드 안에 포함시킬 수 있으며, 자바스크립트를 이용하여 웹 애플리케이션 내에서 파일을 조립하고 바로 다운로드하는 방식을 사용합니다. 이는 탐지 시스템이 네트워크 트래픽을 검사하여 악성 파일을 탐지하기 어렵게 만듭니다. 그래서 악성코드 유포자들의 HTML Smuggling 사용 목적 중 제일 큰 이유는 솔루션에서 탐지가 어렵다는 특징과, 사회공학 기법을 이용하여 사용자가 다운로드 된 파일을 실행하도록 성공할 확률이 높기 때문인 것으로 보입니다.HTML Smuggling을 활용한 멀웨어HTML Smuggling을 활용한 대표적인 멀웨어로 Qakbot과 코발트 IcedID가 있습니다. QakbotQakbot은 악성코드의 일종으로, 주로 금융 정보를 탈취하기 위해 사용되는 트로이목마입니다. 주로 피싱 메일이나 스팸메일, 악성 URL, 컴퓨터 취약점 등을 통해 유포되고 있으며 피해자의 컴퓨터에서 정보를 수집하고 기록하여 사용자의 민감한 정보를 탈취하기 위해 키로깅(key logging)과 같은 기능을 사용합니다. 이 악성 소프트웨어는 또한 백도어(back door) 기능을 가 지고 있어, 해커가 원격으로 감염된 컴퓨터에 접속하고 제어할 수 있습니다. 이를 통해 해커는 시스템을 제어하여 다른 악성 활동을 수행하거나 악성 파일을 설치할 수 있습니다.Qakbot과 같은 상업용 악성코드들이 MS 오피스 매크로 대신 원노트를 이용하여 실행되는 사례와, 기존 정상 메일을 가로채 악성 파일을 첨부해 회신한 형태인 이메일 하이재킹 방식이 증가하고 있습니다.IcedIDBokBot 으로도 불리는 IcedID 악성코드는 주로 피싱 이메일, 악성 첨부 파일 등을 통해 사용자의 시스템에 침투합니다. 사용자가 이러한 링크를 클릭하거나 악성 첨부 파일을 열면, IcedID는 사용자의 컴퓨터에 설치되어 백도어 기능을 수행합니다. 이를 통해 해커는 피해자의 시스템을 원격으로 제어하고, 금융정보와 인증정보를 탈취하는 등의 악성 활동을 수 행할 수 있습니다. 주로 뱅킹 트로이목마로 알려져 있으며, 사용자의 은행 계정 정보 및 기타 민감한 정보를 탈취하는 것을 목표로 합니다. 또한, 이 악성 코드는 원격 Command and Control (C2) 서버와 연결하여 해커에게 제어 및 지시를 받습니다. 이를 통해 해커는 추가적인 페이로드를 배포할 수 있으며, 랜섬웨어나 "hands-on-keyboard" 공격과 같은 다른 악성 코드들을 시스템에 설치할 수도 있습니다. 또한, 크리덴셜(인증 정보)을 탈취하여 다양한 서비스나 시스템에 대한 액세스 권한을 얻으려고 시도하기도 합니다.뿐만 아니라, IcedID는 취약한 네트워크에서 측면 이동(lateral movement) 기능을 포함하고 있습니다. 이는 악성 코드가 한 시스템에서 다른 시스템으로 확산되는 능력을 의미합니다. 이를 통해 IcedID는 네트워크 내에서 퍼져 다른 시스템을 감염시키고, 추가적인 탈취 및 공격 활동을 수행할 수 있습니다.결론HTML을 활용하는 멀웨어 전달 방법 중 하나인 HTML Smuggling은 공격자가 HTML 콘텐츠를 악성 코드로 가려서 전달하는 기법 입니다. 이때, 일반적인 보안 검사에서는 주로 HTML 첨부 파일만 확인되고, 내부에 숨겨진 악성 코드는 탐지되기 어려울 수 있습니다. 이렇게 악성 코드가 HTML Smuggling을 통해 전달되면, 공격자는 디스크 이미지 데이터를 획득하여 초기 엑세스 권한을 얻을 수 있습니다. 신뢰할 수 없는 이메일은 열지 않고 메일에 첨부된 URL 또는 첨부 파일을 클릭하지 않는 습관을 가지도록 정기적인 보안 교육을 통해 경각심을 가져야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
국가정보원이 공개한 자료에 따르면 최근 3년간 (2020~2022년)간 발생한 북한의 해킹 수법 중 해킹 조직으로부터의 사이버 공격으로 보안 프로그램의 약점을 뚫는 '취약점 악용(20%)' 이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등이 있었고, 포털사이트 관리자가 보낸 것처럼 가장한 이메일을 발송하여 이것을 클릭한 사람의 컴퓨터에 악성 코드를 심거나 계정의 정보를 빼내는 방식으로 사이버 공격을 하는 '이메일을 이용한 해킹공격(74%)' 이 가장 큰 비중을 차지하였습니다.주로 해킹메일에서 가장 많이 사칭한 기관은 네이버(45%), 카카오(23%), 금융·기업·방송언론(12%), 외교·안보(6%)순서 였습니다.북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 메일 송신자를 ‘네이버’, ‘NAVER 고객센터’, ‘Daum 게임담당자’ 등 ‘포털사이트 관리자’ 인 것처럼 위장했고 발신자 메일주소 또한 naver를 'navor'로, daum을 'daurn'로 표기하는 등 ‘송신자’와 ‘메일 제목’을 교묘하게 변형해 전송하였습니다. 또한, 사용자들을 속이기 위해 ‘새로운 환경에서 로그인 되었습니다’, ‘[중요] 회원님의 계정이 이용 제한되었습니다’ , ‘해외 로그인 차단 기능이 실행되었습니다’, ‘회원님의 본인확인 이메일 주소가 변경되었습니다’ , ‘알림 없이 로그인하는 기기로 등록되었습니다’ 등 계정에 보안 문제가 생긴 것 처럼 느낄 수 있는 제목으로 해킹 메일을 발송하였습니다. 이렇게 공격당한 시스템에서는 개인정보 및 자료유출, 금전적 피해 등을 일으킬 수 있는 만큼, 보안인식 제고를 통해 악성 메일을 판별하고 이로 인한 피해를 줄일 수 있어야 합니다.■ 해킹메일 식별 방법 1. 아이콘 확인 발신자 이름이 똑같이 ‘네이버’ 및 ‘Daum 게임담당자’이지만 정상메일과 해킹 메일의 아이콘은 서로 다르기 때문에 아이콘을 확인해야 합니다. 2. 보낸 사람 메일 주소를 확인 해킹 메일 발신자의 메일 주소를 확인해 보면, 포털 공식메일로 오인할 수 있는 주소를 사용하고 있어 보낸사람 메일 주소를 확인해야 합니다.3. 링크 주소 확인 피싱 메일 본문의 링크에 마우스를 올려보면 브라우저 왼쪽 아래에서 수상한 링크를 확인할 수 있습니다.4. 로그인 화면 주소를 확인 보안접속일 때는 ‘https://...’로 시작되며, 로그인 접속 URL은 “nid.naver.com/...”(네이버)과 “accounts.akako.com/...”(카카오(다음))이기 때문에 로그인 화면 주소를 확인해야 합니다. 5. 공식 로고 확인 주소창 왼쪽 끝에 자물쇠 마크 또는 접속 계정의 공식 로고가 있는지 확인해야 합니다.■ 이메일 보안 관리 수칙• 포털관리자·업무관계자 또는 지인이 발신한 메일도 신중히 열람• 정부기관 발신 메일도 발신자에게 전화 확인 등 신중히 열람• 수발신 e메일은 활용 즉시 삭제(임시보관함·휴지통 포함)• 주요 내용은 첨부 파일로 수·발신하고, 첨부 파일은 암호 설정• 해외 로그인 차단, 국가·지역별 로그인 허용 등 보안기능 활용• 업무용·개인용 메일은 엄격히 분리 사용(비밀번호 다르게 설정)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
타이탄스틸러(Titan Stealer)작년 말, 윈도우 기기에서 브라우저 데이터와 암호 지갑 정보, FTP 클라이언트 세부 정보, 스크린샷, 시스템 정보, 캡처된 파일 등 다양한 정보를 훔칠 수 있는 타이탄스틸러(Titan Stealer)라는 이름의 새로운 악성코드가 발견되었습니다. 해당 악성코드는 Go언어로 작성됐으며, 시스템 정보 및 액세스할 수 있는 모든 파일을 포함하여 Windows 컴퓨터에 침투해 여러 가지 정보를 훔쳐가는 기능을 가지고 있습니다.타이탄스틸러의 위협적인 능력타이탄스틸러는 보안 소프트웨어로 탐지하기 더 어려운 작은 이진 파일을 만들 수 있고, 언어의 사용 용이성 덕분에 많은 시간을 소비하지 않고도 악성코드를 신속하게 배포할 수 있는 Go언어를 사용합니다. Go는 단순성, 효율성이 좋기로 유명하므로 Windows, Linux 및 macOS와 같은 여러 운영 체제에서 실행될 수 있는 교차 플랫폼 악성코드를 생성하려는 공격자에게 이상적인 선택입니다공격자는 판매자가 제공하는 빌더를 사용해 탈취할 파일 확장자와 대상 도메인 등을 지정한 "Titan"악성코드를 생성합니다. "Titan"은 실행 이후, 피해자 PC에서 브라우저 세션 쿠키와 암호, 설치된 프로그램 목록 및 스크린샷 등의 정보를 수집하고, 탈취한 암호 화폐 지갑의 자격 증명과 함께 공격자 C&C 서버로 전송하고, 이를 통해 특정 위협 목적과 얻고자 하는 정확한 정보 유형에 맞게 위협의 바이너리를 조정할 수 있습니다.타이탄스틸러(Titan Stealer) 공격 대처법 1. 스팸 메일의 URL 또는 첨부 파일을 클릭하지 않아야 합니다.많은 바이러스가 스팸 메일 메시지에 첨부되고, 첨부 파일을 열자마자 퍼집니다. 따라서 예상하는 첨부 파일이 아니라면 열지 않는 것이 가장 좋습니다. 2. 최신 Windows 업데이트로 유지해야합니다. Microsoft에서는 PC를 보호할 수 있는 특별한 보안 업데이트를 정기적으로 발표합니다. 이러한 업데이트로 가능한 보안 허점을 차단하여 타이탄스틸러 공격을 막을 수 있습니다. 3. 악성코드를 제거하기 위해 컴퓨터의 운영 체제를 다시 설치하는 것이 좋습니다. 운영 체제를 다시 설치하면 대부분의 악성코드는 제거할 수 있지만, 일부 특별히 정교하게 설계된 악성코드는 존재할 수 있습니다. 감염된 날 이후의 파일로 다시 설치 하는 것은 컴퓨터를 다시 감염시킬 수 있기 때문에 언제 컴퓨터가 감염되었는지 알고 있다면, 감염된 날 이전의 파일을 다시 설치해야 합니다. 4. 맬웨어 방지 앱을 사용합니다. 맬웨어 방지 앱을 설치하고 최신 상태로 유지하면 바이러스 및 기타 맬웨어(악성 소프트웨어)로부터 PC를 방어하는 데 도움이 될 수 있습니다. 하지만 여러 맬웨어 방지 앱을 동시에 실행하면 시스템이 느리거나 불안정해질 수 있어 주의가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 27명 참여