랜섬웨어 수익 감소, 그 이유는?

랜섬웨어 피해액 연도별 변화 (출처: Chainalysis)2024년 랜섬웨어 개요2024년 랜섬웨어 공격으로 인한 총 수익은 약 8억 1,355만 달러로 2023년 대비 35% 감소하였습니다. 이는 2022년 이후 처음으로 수익이 줄어든 사례입니다. 특히 2024년 상반기에는 랜섬웨어 공격자들이 약 4억 5,980만 달러를 갈취하며 전년 동 기 대비 2.38% 증가했으나 7월 이후 공격 활동이 급격히 줄어들면서 하반기 피해액 이 34.9% 감소하였습니다.이러한 감소는 피해자들의 랜섬머니 지급 거부 증가와 법 집행 기관의 적극적인 개입 이 주요 원인으로 작용한 것으로 보입니다. 특히 2024년 초 LockBit과 같은 대형 랜섬웨어 그룹이 국제법 집행 기관의 집중 단속을 받으며 운영이 크게 위축된 점도 영향을 미쳤습니다.그러나 랜섬웨어 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화에서 벗어나 데이터 유출을 활용한 협박 전략을 강화하고 있습니다. 따라서 기업과 기관의 보안 강화 및 법 집행 기관의 지속적인 대응이 필수적입니다.법 집행 기관으로부터 단속된 LockBitAkira 랜섬웨어 협박 메시지주요 랜섬웨어 그룹 활동 변화 Akira 랜섬웨어 협박 메시지 2024년 랜섬웨어 그룹별 활동에는 큰 변화가 있었습니다. LockBit의 경우 2024 년 초 영국 국가범죄청(NCA)과 미국 연방수사국(FBI)의 대규모 단속으로 인해 하반기 피해액이 79% 감소하였습니다. 이는 국제법 집행 기관들의 협력이 랜섬웨어 조직을 무력화하는 데 효과적이었다는 것을 보여줍니다.ALPHV(BlackCat)은 2023년까지 주요 랜섬웨어 그룹으로 활동했으나 2024년 1월 내부 사기 사건이 발생하면서 조직이 와해되었습니다. 이로 인해 해당 그룹의 활동이 중단되었으며 랜섬웨어 생태계 전반에도 영향을 미쳤습니다.반면, Akira는 2023년 3월 이후 250개 이상의 기관을 공격했으며 2024년 하반기에도 활동을 지속한 유일한 상위 10위 랜섬웨어 그룹으로 나타났습니다. 기존 주요 조직들이 약화된 상황에서도 공격을 이어가고 있어 새로운 위협으로 부상하고 있습니다.2024년 랜섬웨어 피해자 대응 변화 (출처: Chainalysis)피해자 대응 및 데이터 유출 협박2024년 하반기 랜섬웨어 사건 수는 증가했지만 피해자가 실제로 지급한 랜섬머니 총액은 감소하는 추세를 보였습니다. 이는 기업과 개인의 지급 거부 사례 증가가 주요 원인으로 분석됩니다.이에 대응해 공격자들은 데이터 유출을 활용한 협박을 강화하고 있습니다. 2024년 에는 새로운 데이터 유출 사이트가 56개 등장했으며 이는 2023년 대비 두 배 증가한 수치입니다. 피해자의 데이터를 공개적으로 유출하여 심리적 압박을 가하는 전략이 더욱 활성화되고 있으며 이는 기업의 명성 훼손과 법적 문제로 이어질 수 있습니다.또한, 랜섬웨어 조직들은 자금 세탁 방식도 진화시키고 있습니다. 기존에는 믹서 (Mixer)를 통한 세탁이 일반적이었으나 법 집행 단속이 강화되면서 중앙화 거래소 (CEX), 개인 지갑, 브릿지(Bridge) 등을 통한 자금 이동이 증가하고 있습니다. 이는 공격자들이 감시를 피해 보다 다양한 방식으로 자금을 은닉하고 있음을 시사합니다.결론랜섬웨어 공격으로 인한 피해액은 감소하고 있지만 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화 방식에서 벗어나 데이터 유출을 활용한 협박 전략을 더욱 강화하고 있습니다. 이에 법 집행 기관의 단속이 일정 수준의 효과를 거두면서 주요 랜섬웨어 그룹들의 활동이 위축되었지만 새로운 랜섬웨어 그룹들이 등장하며 위협이 지속되고 있습니다.또한, 공격자들은 기존의 믹서(Mixer) 서비스를 이용한 자금 세탁 대신 중앙화 거래소(CEX), 개인 지갑, 브릿지(Bridge) 등을 활용하여 법 집행 기관의 감시를 회피하려 하고 있습니다. 이에 따라 랜섬웨어 위협을 완화하기 위해서는 기업 및 기관의 보안 강화, 피해자의 적극적인 대응, 법 집행 기관의 지속적인 단속과 국제적 협력이 필수적입니다.대응 방안• 정기적인 보안 점검 및 패치 적용• 오프라인과 클라우드를 병행한 데이터 백업• 피싱 이메일 및 악성코드 대응 보안 교육• 데이터 유출 피해를 최소화할 대체 복구 전략 마련• 데이터 접근 통제 및 암호화 강화• 랜섬머니 지급이 아닌 랜섬웨어 복구 도구 이용이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Kimsuky의 새로운 공격 캠페인 DEEP#DRIVE

DEEP#DRIVE 공격 흐름 (출처: Securonix)새로운 공격 캠페인 ‘DEEP#DRIVE’최근 사이버 보안 연구자들은 북한의 해킹 그룹인 Kimsuky가 새로운 사이버 공격 캠페인인 DEEP#DRIVE를 수행하고 있음을 발견했습니다. 이 공격은 주로 한국의 기업, 정부 기관 및 암호화폐 사용자를 대상으로 하며 정교한 피싱 공격과 악성 파일 배포 기법을 사용하여 시스템을 침투하고 정보를 탈취하는 방식으로 진행됩니다.공격자들은 신뢰할 수 있는 문서 파일 형식인 한글(.hwp), 엑셀(.xlsx), 파워포인트(.pptx) 등을 악용하여 악성 파일을 위장하고 있습니다. 피해자는 이 파일을 실행하면 자신도 모르게 악성 코드에 감염되며 이후 공격자는 피해자의 시스템에 침투하여 다양한 정보를 수집하고 외부로 전송합니다. 이러한 공격 방식은 사회공학적 기법을 활용하여 피해자가 의심 없이 파일을 열도록 유도하는 것이 특징입니다.피싱 미끼 (출처: Securonix)DEEP#DRIVE 공격 분석공격자들은 한국어 맞춤형 피싱 미끼를 이용해 종신안내장V02_곽성환 D.pdf.pdf와 같은 .lnk(바로가기) 파일을 문서 파일로 위장하여 배포합니다. 사용자가 이를 실행하면 악성 스크립트가 자동 실행되며 추가 악성 코드가 다운로드됩니다.공격자는 감염된 시스템에서 지속적인 접근을 유지하기 위해 ChromeUpdateTaskMachine이라는 이름의 Windows 작업 스케줄러 작업을 생성합니다. 이를 통해 악성 스크립트가 정기적으로 실행되도록 설정하여 가해자가 시스템을 재부팅 하더라도 공격이 계속될 수 있도록 합니다.또한, 공격자는 감염된 시스템에서 PowerShell 기반 악성 스크립트 (system_first.ps1)를 실행해 IP 주소, 운영 체제 정보, 백신 제품, 실행 중인 프로세스 등의 데이터를 수집합니다. 이후 이를 신뢰할 수 있는 클라우드 서비스인 Dropbox로 전송하여 보안 탐지를 우회합니다. 이는 보안 시스템이 Dropbox와 같은 합법적인 서비스의 트래픽을 차단하지 않는 점을 악용한 전략입니다.결론DEEP#DRIVE 캠페인은 정교한 피싱 공격과 악성 코드 유포 기법을 결합하여 신뢰할 수 있는 플랫폼을 악용하는 특징을 가지고 있습니다. 특히, 한국어 기반의 맞춤형 공격을 활용하고 Dropbox와 같은 합법적인 서비스를 악용해 탐지를 우회함으로써 보안 대응을 더욱 어렵게 만들고 있습니다. 이러한 위협은 기존 보안 솔루션만으로 완벽히 차단하기 어려우며 조직 차원의 선제적 대응과 지속적인 보안 모니터링이 반드시 필요합니다. 따라서 보안 인식 교육 강화, 악성 코드 탐지 시스템 도입, 클라우드 서비스 모니터링 강화 등 다층적인 보안 전략이 요구되며 지속적으로 발전하는 사이버 위협에 대응하기 위해 최신 보안 동향을 파악하고 철저한 대비책 마련이 필 수적입니다.대응 방안• PowerShell 사용 제한• Dropbox를 포함한 클라우드 서비스 모니터링• 사용자 피싱 이메일 교육• 보안 업데이트 및 백신 프로그램 실행• Windows 작업 스케줄러의 비정상적인 작업 생성 및 실행 차단이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2024년 하반기 사이버 위협 동향 - KISA

침해사고 신고 현황 (출처: KISA 2024 하반기 사이버 위협 동향 보고서)유형별 침해사고 신고 현황 (출처: KISA 2024 하반기 사이버 위협 동향 보고서)2024년 하반기 사이버 위협 동향 - 침해사고 신고 현황한국인터넷진흥원에서 발표한 2022년부터 2024년까지 반기별 침해사고 신고 현황을 살펴보면 2024년 상반기 침해사고 신고 건수는 899건으로 전년 상반기 대비 35% 증가했고 2024년 하반기 침해사고 신고 건수는 988건으로 전년 하반기 대비 61% 증가하였습니다. 이는 공격자의 해킹 경유지 악용 등으로 인한 서버 해킹이 크게 증가했기 때문으로 보입니다.2024년 유형별 침해사고 신고 통계를 살펴보면 서버 해킹 공격이 전년대비 약 2배로 급격히 증가했습니다. 이는 공격자의 해킹 경유지 악용과 더불어, 보안관리가 취약한 중소기업의 홈페이지 웹 취약점을 악용한 웹 셸 공격이 증가한 것과도 밀접한 관련이 있습니다.정보유출, 스팸 문자 및 메일 발송 등 기타 유형의 침해사고 신고는 매년 상반기보다 하반기에 증가하였는데 이는 연말 행사, 취업 준비, 대학 입시 등 연령대별 관심사를 노린 사회 공학적 피싱 공격이 하반기에 더 많이 발생하기 때문입니다.락앤락 개인정보 유출 관련 안내 (출처: 락앤락)국내 서버 해킹 사례 ①락앤락은 신원 미상의 외부 해커로부터 서버 해킹 공격을 받아 통합회원 등의 개인 정보가 유출되는 사건이 발생하였습니다. 유출된 개인정보에는 아이디, 암호화된 비밀번호, 이름, 주소, 휴대폰번호, 이메일, CI 등이 포함되었으며 입력된 정보에 따라 성별, 생일, 기념일, 전화번호, 자동로그인 연동 정보 등이 추가로 포함되었을 가능성이 있습니다.사고 발생 후 락앤락은 즉시 접근 통제와 모니터링을 강화하고 한국인터넷진흥원 (KISA)에 해킹 사고를 신고하여 조사를 진행하였습니다. 해당 개인정보 유출로 인해 보이스피싱 등 2차 피해가 발생할 우려가 있었으며 이에 따라 이용자들에게 피싱 메시지에 대한 주의를 당부하고 비밀번호 변경 등 보안 조치를 하도록 권장하였습니다.스티비 개인정보 유출 관련 안내 (출처: 스티비)국내 서버 해킹 사례 ②국내 뉴스레터 플랫폼 스티비가 서버 해킹 공격을 받아 일부 사용자들의 개인정보가 유출되는 사건이 발생하였습니다. 이번 해킹으로 인해 이메일, 비밀번호, 이름, 연락처, 결제 시 사용한 카드 정보 등이 유출된 것으로 확인되었습니다. 특히, 이번 공격으로 인해 프롭테크 스타트업 알스퀘어의 뉴스레터 구독 자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송되는 등 2차 피해가 발생하면서 피해자들의 불안이 커졌습니다.사고 발생 후 스티비 측은 즉시 보안 정책을 강화하고 피해를 최소화하기 위해 보안 전문 기관과 협력하였습니다. 또한, 향후 서비스 제공에 필요한 최소한의 정보만 보유하는 방향으로 개인정보 보관 정책을 변경할 계획이라고 발표하였습니다.결론2022년부터 2024년까지 해킹 공격이 급증하면서 2024년에는 침해사고 신고 건수가 전년 대비 최대 61% 증가하였습니다. 특히, 해커들이 서버를 해킹 경유지로 악용하는 사례가 늘어나면서 기업과 기관의 보안 위협이 더욱 심화되고 있습니다.최근 발생한 락앤락과 스티비의 서버 해킹 사고는 기업이 보안 시스템을 철저히 관리하지 않을 경우 대규모 개인정보 유출로 이어 질 수 있음을 보여주는 대표적인 사례입니다. 두 사례 모두 사용자의 중요한 개인정보가 유출되었으며 이는 기업의 보안 취약점이 해커들의 주요 공격 대상이 되고 있음을 보여줍니다.기업은 단순한 보안 조치만으로는 충분하지 않으며 정기적인 보안 점검과 최신 보안 기술 적용이 필수적입니다. 개인정보 보호는 기업의 신뢰와 직결되므로 선제적인 보안 강화와 신속한 대응 체계를 구축하는 것이 반드시 필요합니다. 특히 다중 인증(MFA) 도입, 최신 보안 패치 유지, 서버 접근 권한 최소화 등 종합적인 보안 대책을 지속적으로 강화해야 합니다. 이를 통해 해킹 위협을 사 전에 차단하고 고객의 개인정보를 안전하게 보호할 수 있을 것입니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

PlushDaemon, 한국 IPany VPN 표적 삼다

IPany 웹사이트 (출처: IPany)악성 설치 프로그램을 다운로드할 수 있는 IPany 웹 페이지 (출처: ESET)PlushDaemon, 한국 IPany VPN 표적 삼다PlushDaemon은 최소 2019년부터 활동해 온 중국과 연계된 APT 그룹으로 주로 중국, 대만, 홍콩, 한국, 미국, 뉴질랜드의 개인 및 기관을 대상으로 사이버 스파이 활동을 수행하여 왔습니다.2023년, PlushDaemon은 한국의 VPN 소프트웨어 IPany의 설치 프로그램을 악성코드로 교체하는 공급망 공격을 수행하였습니다. 사용자가 공식 웹사이트에서 VPN을 다운로드하는 과정에서 감염되었으며 설치 프로그램 내부의 악성코드가 실행되었습니다.이 악성 설치 프로그램은 정상적인 VPN과 함께 SlowStepper 백도어를 설치 하여 공격자가 피해자의 시스템에 원격 접근할 수 있도록 하였습니다. 이 공격으로 한국의 반도체 기업 및 소프트웨어 개발 회사에서 감염 사례가 확인되었으며 일본과 중국에서도 피해자가 보고되었습니다.정상 파일과 악성 파일 배포 (출처: ESET)SlowStepper의 pycall 셸 명령을 통한 도구 실행 (출처: ESET)맞춤형 멀웨어 ‘SlowStepper’SlowStepper는 C++, Python, Go로 작성된 다기능 백도어로 약 30개의 모듈로 구성되어 있습니다. 이 백도어는 감염된 시스템에서 다양한 스파이 활동을 수행할 수 있도록 설계되었으며 모듈식 구조로 인해 기능을 확장하거나 변형하기 용이합니다.SlowStepper는 감염된 시스템에서 시스템 정보를 수집하고 추가적인 악성코드를 다운로드하여 실행할 수 있습니다. 또한, 파일 시스템을 열람하고 Python 기반의 스파이웨어 모듈을 실행하며 공격자의 명령을 수행하는 기능을 갖추고 있습니다. 뿐만 아니라 특정 파일을 삭제하거나 감염 흔적을 제거하기 위한 자가 삭제 기능도 포함되어 있습니다.이 백도어는 주로 DNS 쿼리를 이용한 C&C(Command and Control) 통신 기법을 통해 공격자의 명령을 수신하고 데이터를 전송합니다. 이를 통해 보안 솔루션을 우회할 수 있으며 정기적으로 공격자와 연결하여 명령을 수신할 수 있습니다.결론PlushDaemon의 이번 공급망 공격은 VPN 소프트웨어의 신뢰성을 악용하여 악성코드를 배포한 대표적인 사례입니다. 특히, 사용자가 공식 웹사이트에서 소프트웨어를 다운로드하는 과정에서 감염되었기 때문에 기존의 보안 지침만으로는 방어하기 어려운 심각한 보안 위협이 되었습니다.SlowStepper 백도어는 정교한 설계와 모듈식 구조를 통해 장기간 피해자의 네트워크를 감시하고 정보를 수집할 수 있으며 DNS 기반 C&C 통신 방식을 사용해 보안 솔루션을 우회할 가능성이 높습니다. 이러한 특성으로 인해 일반적인 네트워크 모니터링만으로 탐지하기 어려운 강력한 위협이 됩니다.이러한 공급망 공격과 백도어 위협에 대응하기 위해서는 소프트웨어 공급망의 무결성을 보장하는 보안 조치가 필수적입니다. 기업과 보안 연구 기관은 APT 그룹의 동향을 지속적으로 추적하고 최신 공격 기법을 분석하여 사전 방어 전략을 수립해야 합니다. 또한, 소프트웨어 코드 서명 검증, 침입 탐지 시스템(IDS) 활용, 네트워크 모니터링 강화 등을 통해 보안 대응 체계를 구축하는 것이 중요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

북한 해커, 13억 달러 상당의 암호화폐 탈취

총 손실액 (출처: Chainalysis)북한 해커, 13억 달러 상당의 암호화폐 탈취2024년 북한 해커들은 47건의 사이버 공격을 통해 총 13억 4천만 달러 상당의 암호 화폐를 탈취하며 사상 최대의 피해 규모를 기록했습니다. 이는 전 세계 암호화폐 해킹 피해액의 61%에 해당하며 전년 대비 21% 증가한 수치입니다.특히, 2024년 5월 일본의 DMM 비트코인에서 약 3억 500만 달러, 7월 인도의 WazirX에서 약 2억 3천 500만 달러 상당의 암호화폐가 탈취된 사건이 주목받았습니다. 이번 공격에서 탈취된 자산의 44%는 개인 키 유출로 인해 발생했으며 보안 취 약점의 악용은 6.3%에 불과했습니다.또한, 해커들의 공격 목표는 시기별로 변화하는 양상을 보였습니다. 1분기에는 주로 DeFi 플랫폼이 주요 표적이었으나 2분기와 3분기에는 중앙화 거래소로 초점이 옮겨 갔습니다.탈취 금액 (출처: Chainalysis)암호화폐 탈취의 기록적인 한 해2024년은 북한 해커들에게 있어 가장 성공적이고 기록적인 한 해였습니다. 이들은 총 47건의 해킹 공격을 통해 약 13억 4천만 달러 상당의 암호화폐를 탈취했으며 이는 단일 연도 기준으로 사상 최대 규모입니다.2023년에 북한 해커들이 20건의 공격으로 약 6억 6,050만 달러를 탈취했던 것과 비교하면 2024년에는 사건 수와 피해 금액 모두 크게 증가하여 피해 규모는 무려 102.88%나 늘어났습니다. 탈취된 자금은 전 세계 암호화폐 해킹 피해 총액의 61% 이상을 차지하며 북한 해커들이 암호화폐 해킹에 있어 가장 강력한 세력 중 하나로 자리 잡고 있음을 보여줍니다.이러한 활동은 주로 암호화폐 거래소와 개인 지갑을 대상으로 한 정교한 공격으로 이루어졌으며 이를 통해 북한은 국제 제재를 회피하고 핵 및 미사일 프로그램과 같은 군사적 활동 자금을 조달하는 데 성공했습니다.DMM 비트코인 공식 X 계정자금 추적 (출처: Chainalysis)북한 해커, DMM 비트코인 탈취2024년 5월 일본의 암호화폐 거래소 DMM 비트코인은 북한 해커 조직의 표적이 되어 약 4,502.9 비트코인, 당시 약 3억 500만 달러 상당의 자산을 탈취당하는 사건이 발생했습니다.이 사건은 북한의 주요 해커 그룹인 라자루스(Lazarus)가 주도한 것으로 파악되었 습니다. 해커들은 헤드헌팅 이메일을 가장한 악성 링크를 유포해 DMM 비트코인 직원들의 시스템 접근 권한을 탈취했으며 이를 통해 내부 네트워크에 침투한 후 개인키와 거래 데이터를 확보했습니다.탈취된 자산은 빠르게 여러 중간 주소로 분산 전송되었고 해커들은 비트코인 믹싱 서비스와 탈중앙화 금융(DeFi) 플랫폼을 활용하여 자산의 출처를 숨겼습니다. 또 한, 다양한 암호화폐 브릿지를 통해 다수의 블록체인 네트워크 간 이동을 반복함으로써 자금의 흔적을 복잡하게 만들어 추적을 어렵게 만들었습니다.결론2024년 북한 해커들은 47건의 공격을 통해 약 13억 4천만 달러에 달하는 암호화폐를 탈취하며 사상 최대의 피해를 기록했습니다. 이러한 활동은 암호화폐 생태계의 보안 취약점을 적나라하게 드러냈으며 국제 제재를 우회하고 군사 활동 자금을 조달하려는 북한의 전략적 움직임을 보여줍니다. 특히, 탈취된 자산의 44%가 개인키 유출로 인해 발생했으며 자산의 세탁은 믹싱 서비스와 탈중앙화 금융(DeFi) 플랫폼을 통해 이루어져 추적을 어렵게 했습니다. 현재 암호화폐 생태계는 기술적 방어 체계 강화와 국제적 협력이 필요한 상황입니다.암호화폐 업계와 국제 사회는 기술적 측면에서 다중 서명 지갑과 콜드 월렛의 사용 확대, 정기적인 보안 감사, 그리고 거래 모니터 링 시스템의 강화가 필수적이며 또한, 사회공학적 공격을 방지하기 위한 직원 교육과 피싱 대응 전략이 필요합니다. 무엇보다 글로벌 협력 체계를 구축하여 해킹 활동 정보를 공유하고 법적 대응과 기술적 방어를 통합적으로 실행해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

가짜 CAPTCHA 멀버타이징 캠페인

멀버타이징의 공격 흐름 (출처: Imperva)구글 검색결과 중 확인된 멀버타이징 (출처: Malwarebytes)멀버타이징멀버타이징(Malvertising)이란 악성 광고 Malicious Advertising의 줄임말 로 온라인 광고를 통하여 사용자에게 멀웨어를 퍼트리거나 악성 사이트로 리다 이렉션 해 공격하는 기법을 말합니다.공격자들은 웹사이트의 광고 공간을 구매해서 해당 공간에 업로드할 이미지에 악성 코드를 숨겨 광고를 제작합니다. 공격이 숨겨진 광고가 웹사이트에 게시 되면 사용자들이 웹사이트에 접속했을 때 공격이 숨겨진 광고를 로드 하게 되고 로드가 되는 즉시 광고에 포함된 악성 코드가 실행되어 멀웨어에 감염 될 수 있습니다.멀버타이징의 작동 원리로는 광고를 클릭해 악성 코드가 활성화 되는 클릭 기 반 감염 방식과 광고를 로딩 하는 것만으로도 악성 코드가 실행되는 드라이브 바이 다운로드 방식이 있습니다.디셉션애즈(DeceptionAds) 공격 흐름도 (출처: GuardioLabs)디셉션애즈디셉션애즈(DeceptionAds)는 최근 발견된 대규모 멀버타이징 캠페인으로, 가짜 CAPTCHA 인증 페이지를 통해 사용자들을 속여 정보 탈취형 멀웨어인 룸마를 설치하도록 유도하는 공격입니다.이 공격은 Monetag 광고 네트워크를 활용하여 하루 100만 건 이상의 광고 노출을 발생시키며 약 3,000개의 웹사이트를 통해 확산됩니다. 사용자가 악성 광고를 클릭하면 BeMob 클로킹 서비스를 통해 가짜 CAPTCHA 페이지로 리 다이렉션 되며 이 페이지는 사용자의 클립보드에 악성 파워 셸 명령어를 복사 합니다. 이후 사용자는 자신도 모르게 해당 명령어를 실행하게 되어 정보 탈취 형 멀웨어인 룸마가 시스템에 설치됩니다.이러한 공격은 주로 불법 스트리밍 사이트나 소프트웨어 플랫폼에서 발생하며 사용자들이 의심 없이 악성 코드에 감염되도록 유도합니다.결론디셉션애즈 캠페인은 가짜 CAPTCHA 페이지와 같은 사회공학적 기법을 통해 멀버타이징 공격의 위험성을 보여주고 있습니다. 이 공격은 대규모 광고 네트워크를 악용하여 멀웨어를 은밀히 배포하며 사용자와 광고 생태계 모두에 심각한 위협을 가하고 있습니다. 디셉션애즈는 단순한 개인 사용자 뿐만 아니라 기업 및 광고 네트워크의 보안 허점을 악용하여 더 큰 피해를 야기할 수 있어 모두가 이러한 공격 기법에 대해 인지하고 적절한 대응책을 마련하는 것이 중요합니다.디셉션애즈 캠페인에 대한 보안 권장 사항•의심스러운 CAPTCHA 페이지 경계• 소프트웨어 및 브라우저 업데이트• 광고 차단 도구 사용• 불법 복제 소프트웨어 및 불법 스트리밍 사이트 접속 금지이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

중소기업 침해사고 피해지원서비스 동향보고서 (2024년 3분기)

분기별 침해사고 신고 통계랜섬웨어 LockBit의 다크웹 데이터 유출 사이트(출처 : KISA)2024년 3분기 중소기업 침해사고 통계2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 가장 많이 발생한 침해사고 유형은 해킹 경유지이며, 이어서 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 접수되었습니다.그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 꾸준히 증가하고 있으며, 2분기 대비 5.2% 증가율을 보입니다. 개인정보유출과 악성 사이트유도 유형도 상승 폭이 컸으나, 랜섬웨어는 전체 사고 유형 중에서 꾸준히 높은 비중을 차지했으며, 3분기에는 가장 많은 비중을 차지했습니다.반면, 해킹경유지는 1분기 뿐만 아니라 전체 사고 유형중에서도 가장 많이 발생하였으나, 지속적으로 감소하는 추세를 보이고 있습니다.BitLocker의 랜섬 노트(출처: 블리핑컴퓨터)Mallox 랜섬웨어의 공격자와 피해자가 협상하기 위한 웹사이트(출처: 팔로알토 네트웍스)2024년 주요 랜섬웨어 유형랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 채택하는 등 점점 정교해지고 있습니다.과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격대상이 광범위해지고 공격 기법 또한 다양해진 상황입니다.특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있고, 다운받아서 사용할 수 있게 되었으며, 이를 통해서 공격이 더욱 조직적이고 빠르게 확산되고 있습니다.최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발하고 있습니다. 2024년 KISA의 중소기업 침해사고 피해 지원 서비스에 접수된 사고 중 가장 많이 이용되는 랜섬웨어 유형으로는 Phobos, LockBit, BitLocker, Mallox 순으로 확인되었습니다.Phobos 랜섬웨어의 랜섬 노트 예시 (출처: CISCO Talos 블로그) Phobos Phobos 랜섬웨어는 서비스형 랜섬웨어(RaaS,, Ransomware-as-a-Service) 로 2017년 10월 처음 발견됐습니다. 이 랜섬웨어에 감염되면 파일들이 “파일명. 기존확장자.id[감염 PC의 VSN-고정 4자리 숫자].[공격자 메일주소].랜섬웨어 확장자” 와 같이 암호화됩니다. 암호화에 사용되는 알고리즘은 대칭키 암호화 알고리 즘인 AES 알고리즘입니다.Phobos가 감염을 시작하면, 지속성 유지를 위해 LOCALAPPDATA 경로에 악성 코드를 복사하고, Run키에 등록해 재부팅 이후에도 재실행 될 수 있도록 하며, 이 미 Phobos의 확장자나 다른 랜섬웨어의 확장자로 암호화 되어있는 경우나 특정 언어환경에선 암호화를 수행하지 않고 있습니다. 또한, Phobos는 방화벽을 비활 성화 하고, 복구 방지를 위해 볼륨의 셰도우 복사본을 삭제해 차단을 방지하고 복 구를 방해합니다.Phobos는 피싱 메일이나 외부에 노출된 보안이 취약한 RDP 서비스를 대상으로 공격하여 하여 유포되는 특징을 가지고 있으며, 사용자의 수동 조작으로 실행되는 특성을 가지고 있습니다. 또한, 다양한 변종으로 발전하고 있어 주의가 필요한 랜 섬웨어입니다.결론2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 주목해야 할 사고 유형은 랜섬웨어에 의한 사고입니다. 랜섬웨어에 의한 사고는 분기마다 지속적으로 증가하고 있으며, Phobos, LockBit, BitLocker, Mallox 순으로 사고가 자주 발생하고 있습니다. 이중 Phobos 랜섬웨어는 많은 변종을 가지고 있으며, 서비스형 랜섬웨어로 이를 구매한 공격자가 목표에 맞게 특성화 하여 공격을 수행할 수 있는 특징을 가지고 있어 주의가 필요합니다.랜섬웨어 예방 방안 • 운영체제 및 소프트웨어 업데이트 • 백신 소프트웨어 사용 및 최신 버전 유지 • 취약점 관리 및 패치 • 스팸 메일 차단 • 망 분리 및 접근 통제 강화 • 안전한 브라우저 사용 • 관리자 계정 암호 설정 강화 • PC내 중요 자료 정기적 백업 및 주기적인 볼륨 스냅샷 관리 • 스냅샷 보호를 위한 보안 솔루션 적용중소기업 랜섬웨어 대응 지원(출처 : KISA)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

우리나라 정부 부처를 공격한 DDoS

NoName057(16)의 텔레그램 프로필 (출처: SOCRadar)KISA의 보안강화 권고 (출처: KISA 보호나라 & KrCERT/CC)NoName057(16)NoName057(16)은 2022년 3월부터 활동하기 시작한 러시아의 핵티비스트 그룹입니다. 이들의 주 목적은 반러시아적 행보를 보이는 대상에 DDoS 공격 을 수행하는 것으로 지난 11월 4일 친러시아 성향의 핵티비스트들인 Cyber Army of Russia Reborn, Alixsec과 함께 국내 주요 정부 기관 웹사이트를 대상으로 DDoS 공격을 수행했다고 주장하였습니다.이들이 밝힌 공격 대상은 국방부와 환경부, 국가정보자원관리원, 한국도로교 통공단, 서울교통공사, 서울시, 인천시 등 자치단체와 정부부처, 공공기관까지 열 곳이 넘으며, 이중 일부는 홈페이지 접속이 일시적으로 불안정해지는 등의 피해를 입은 곳도 있습니다.공격이 있기 전 KISA는 러시아-우크라이나 전쟁 등 국제 정세의 변화로 랜섬 웨어와 DDoS 등의 공격을 예방하기 위한 보안강화를 권고하기도 하였습니다.NoName057(16)의 공격 흐름도NoName057(16)의 공격 방식NoName057(16)은 텔레그램에서 활동하며 수만 명의 많은 구독자를 보유하 고 있는데, 소셜 미디어를 적극적으로 활용해 본인들의 활동을 알리고 공격 목 표와 진행 상황들을 실시간으로 공유하고 있습니다. 또한, 이들은 DDoSia와 같은 자동화된 DDoS Bot을 활용하고 있는데 이 Bot을 이용한다면 개인 사용 자들도 공격에 참여 할 수 있어 이들은 텔레그램을 통해 일반 사용자들까지 공 격에 동참하도록 장려하고 있습니다.일반 사용자가 NoName057(16)의 텔레그램 채널에서 DDoSia를 다운로드 받고 client_id.txt를 동일한 경로에 두고 실행하는 방식으로 동작합니다. DDoSia가 실행되면 인증과정을 거친 후 공격 대상 목록을 전달받고 공격을 수행하게 됩니다.결론친러시아 성향 핵티비스트 그룹 NoName057(16)이 지난 11월 4일부터 우리나라의 주요 정부 기관을 공격했으며, 몇몇은 일시적인 접속 장애를 겪었습니다. 이들은 텔레그램을 통해서 자동화된 DDoS 공격 툴인 DDoSia와 같은 DDoSBot을 공유하며, 공격을 홍보 하고 일반 사용자들도 공격에 동참하도록 장려했고, 공격에 동참한 일반 사용자들에게 공격 대상 사이트들을 명령어로 전달해 공격을 수행합니다.DDoS에 대한 보안 권장 사항• 일반적이지 않은 네트워크 통신량 제한 등 • DDoS 방어서비스 이용 • DDoS 등 사이버 공격 대비 홈페이지 및 주요 시스템에 대한 모니터링 및 보안 강화 • 네트워크 서비스 장애 대비 중요 파일 및 문서 등 네트워크와 분리된 정기적인 오프라인 백업 권고이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

DISCORD 봇으로 구현한 RAT PySilon

Discord의 홈페이지 메인 화면Discord의 봇 개발 페이지디스코드와 디스코드 봇Discord는 실시간 음성 채팅이나 영상 텍스트 채팅 등을 지원하는 소셜 플랫폼 으로 주로 게이머들 사이에서 함께 게임을 하기 위해 사용되어 왔으나 최근에는 같은 취미를 가진 사람들의 소셜 플랫폼이나 중고물품 거래에도 사용되며, 심지 어는 소형 개발사의 메신저로서 사용되기도 하는 등 다양한 분야에서 다양한 방 식으로 활용되고 있는 소셜 플랫폼이 되었습니다. Discord에서 사용되는 봇은 서버의 관리, 편의나 오락 등 여러 기능을 제공 할 수 있도록 만든 툴로 음악 재생 및 노래방 모드 등을 제공해 주는 노래봇, 글자 를 전자 음성으로 읽어 주는 tts 봇, 대화 및 끝말잇기 등의 게임 기능을 제공하 는 게임 봇, 번역기, 사전 검색 등 다양한 기능을 가진 봇들이 존재합니다.그리고 이런 다양한 기능을 가진 Discord 봇 활용한 악성 행위들 또한 있습니다.PySilon의 기능들(출처 : PySilon Github)PySilon PySilon은 전체 소스코드가 2022년 12월 초에 Github에 공개된 RAT으로 Discord로 구현된 멀웨어 입니다. 공격자는 PySilon의 Github에서 PySilon.bat 파일을 다운받아 실행해 PySilon 빌더로 각종 정보들을 설정해주면 PyInstaller를 통해 실행 파일이 만들어 지게 됩니다. 이를 피해자가 실행하게 되면, 공격자가 디스코드 봇을 통 해 명령을 전달할 수 있게 되고, 이를 통해 피해자의 시스템에 각종 악성 행위 를 할 수 있게 됩니다. PySilon는 지속성 유지를 위해 피해자의 사용자 폴더에 자가 복제를 하고 레지 스트리를 이용해 PC가 시작 될때 마다 계속 실행하며 시스템에 상주하면서 공 격자에게 키로거, 저장된 비밀번호 캡처, 브라우저 기록 수집, 쿠키 수집, Wifi 비밀번호 추출, 시스템의 화면 녹화, 마이크 녹음 등의 기능을 제공합니다.결론PySilon은 Discord bot을 활용한 멀웨어 입니다. 키로거, 비밀번호 수집, 화면 녹화 및 음성 녹음 등의 공격을 보다 간편하게 수행할 수 있게 해줍니다. PySilon은 Github와 같은 플랫폼에서 제공되는 오픈소스 코드 멀웨어로 무료로 받을 수 있으며, 최초 개발자의 지 속적인 개선과 새로운 기능이 지속해서 추가 되고, 소스코드가 오픈 되어 있어 쉽게 수정해 멀웨어를 직접 제작할 수 있어 공격자에게 매력적인 공격 수단이 될 수 있는 위험한 멀웨어 입니다.PySilon과 같은 RAT 멀웨어에 대한 방지 방안•초기 감염은 피싱 사이트나 무료 소프트웨어 다운로드 사이트 등에서 유포된 악성 파일에 의해 발생함으로 평판이 좋고 안전한 출 처에서만 소프트웨어 및 애플리케이션을 설치하여야 합니다.•검증 받은 백신프로그램을 설치 및 최신 업데이트를 하여 악성 프로그램의 설치를 탐지하고 제거 할 수 있도록 하여야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

Grafana 취약점 노출 현황

Grafana 소개Grafana 접속 화면Grafana 취약점 노출Grafana는 통합된 차트와 그래프를 여러 대시보드에 나타내 사용자가 데이터를 더욱 쉽게 해석하고 이해하는 데 도움을 주는 오픈소스 인터랙티브 데이터 시각화 플랫폼입 니다. 2024년 10월 18일에 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템 에 원격 명령을 실행하거나 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.9라는 위험도 높은 점수를 부여 받았습니다. Viewer 이상의 권한이 있는 모든 사용자는 서버 에 임의적인 명령을 실행하거나 특정 파일 내용을 확인하는 등 취약점을 악용하여 정보 를 탈취할 수 있습니다.Grafana v11.x 버전이 설치된 환경에서 DuckDB가 환경 변수를 통해 접근이 가능한 경우 취약점 공격 대상입니다. 최근 버전부터 취약점을 유발하는 기능이 포함되어있으 며, DuckDB 설치라는 전제 조건이 존재하기 때문에 실제 취약점에 노출된 서버는 많 지 않을 것으로 예상되지만, 원격 명령 실행 및 파일 탈취가 가능하며 PoC 코드가 공개 되어 있기에 공격 가능성에 대한 주의가 필요합니다.국내 Grafana 서버 취약점 노출 현황(출처: ASEC)국내 Grafana 서버 현황국내에서 운용 중인 Grafana 서버가 2285개이며, 이 중 2168개 서버 정보가 확인되었습니다. 취약점 대상 버전 및 이하 버전을 사용 중인 서 버는 2147개(99%)로, 장기간 최신 업데이트를 진행하지 않고 운용 중 인 것으로 나타났습니다. CVE-2024-9264 취약점 대상 버전인 v11.x 를 사용 중인 서버는 674개(31%)로 확인되었습니다. 국내 기업 상당수 가 Grafana 서버를 운용하고 있으며 대학교와 대학원에서도 다수 확인 되었습니다.CVE-2024-9264 취약점CVE-2024-9264는 Grafana의 SQL 표현식 기능에 존재하는 DuckDB SQL 취약점입니다. 인증된 모든 사용자는 Grafana 대시 보드에서 표현식을 수정하여 임의의 DuckDB SQL 쿼리를 실행할 수 있습니다.Grafana v11.0.0 버전부터 제공된 SQL 표현식을 실행할 수 있는 기능에서 SQL 쿼리를 적절히 필터링하지 않아 DuckDB CLI에 사용자 입력 데이터가 포함된 명령이 전달되며, 명령에 대한 실행 결과를 얻을 수 있습니다. read_text, read_csv 등 SQL 쿼리를 통 해 로컬 파일의 내용을 읽어 공격자가 시스템의 중요 파일들을 읽을 수 있습니다. 또한 시스템에 원하는 내용의 파일을 생성하여 쉘 명령을 작성하고 파일을 읽어 임의 명령을 실행하는 방식 등을 통해 지속적인 정보 탈취가 이루어질 수 있습니다. 이 취약점은 매우 심각하지만, 악용 가능 여부에 대해서는 DuckDB 바이너리가 Grafana 서버에 설치되어 있는지에 따라 달라집니다. 이 취약점을 악용하기 위해서는 Grafana 서버 $PATH에 DuckDB가 설치되어 있어야 합니다. DuckDB가 없으면 SQL 주입 취약점 을 악용할 수 없습니다.결론CVE-2024-9264 취약점은 임의 명령이 실행되거나 중요한 파일이 유출될 수 있어 큰 피해가 발생할 것으로 예상됩니다. 취약한 버전을 가진 Grafana 서버 운용 시 공격 대상이 될 수 있으므로 지속적인 관심을 가지고 최신 패치 버전을 다운로드하여 관리하고 예방하여야 합니다. 이번 사례를 통해 앞으로도 지속적인 보안 업데이트와 취약점 모니터링의 중요성을 인식하고, 사용 중인 모든 서비스를 항상 최신 버전으로 관리 및 유지하는 것이 중요합니다.대응방안 • 패치된 최신 버전 다운로드 (GrafanaLabs) - 11.0.5+security-01,11.1.6+security-01,11.2.1+security-01 - 11.0.6+security-01,11.1.7+security-01,11.2.2+security-01• DuckDB 제거 - DuckDB 실행파일을 제거하거나 환경 변수 경로에서 제외• SQL Expressions기능 비활성화이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Jenkins 취약점 노출 국내 서버 현황

확인된 취약 Jenkins 서버 예시 (출처: ASEC)국내 Jenkins 서버 취약점 노출 현황국내 Jenkins 서버 대다수 취약점 노출올해 초 공개된 CVE-2024-23897 취약점은 인증되지 않은 사용자가 Jenkins 서버 시스템의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.8의 위험도가 매우 높은 취약점입니다. 최근 해당 취약점이 실제 공격에 악용되고 있다는 보고가 있으며, 해외 언론에서는 특정 기업이 해당 취약점을 악용한 공격으로 피해를 입었다고 합니다. 해당 취약점으로 대상 버전의 모든 Jenkins 서버에 공격이 가능할 것으로 파악됩니다.최근 공개된 CVE-2024-43044 취약점 또한 기본 라이브러리의 특정 기능을 악용하 여 Agent 접근 권한을 가진 공격자가 서버의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 8.8의 위험도가 높은 취약점입니다.두 취약점 모두 PoC 코드가 GitHub, 블로그 등지에 공개되어 쉽게 찾을 수 있어 언제 든 공격에 악용될 수 있으므로 주의해야 합니다파일 일부를 읽을 수 있는 명령어 사용 예시※ 별다른 설정을 하지 않은 환경인 기본 권한 상태에서는 취약점으로 탈취 가능한 파일 내용이 일부 라인 으로 제한되나, SSH Key, Jenkins 암호화 키 등의 라인 구분이 없는 주요 파일은 전체 내용을 출력할 수 있습니다.CVE-2024-23897이 취약점은 Jenkins-CLI 툴을 통해 원격지에서 명령어와 인자를 전달받아 CLI 명령을 분석하는 과정에서 발생합니다. 명령 분석에 사용하는 Args4j 라이브러리에 ‘@’ 식별자 이후 문자열 경로의 파일을 읽어 인자로 설정하는 기능(expandAtFiles)이 있습니다. 명령에 대한 유효한 인자가 아닌 경우 에러가 발생하는데, 이 에러 메시지에 인자로 사용했던 문자열, 즉 파일 내용이 노출되는 취약점입니다.파일 전체를 읽을 수 있는 명령어 사용 예시※ 특정 설정 환경 - 익명 연결 기능을 사용한 경우- 모든 사용자에 읽기 권한을 부여했을 경우- 사용자 가입을 허용했을 경우- Lagacy 모드를 사용할 경우분석 결과, 취약점에 활용 가능한 에러 메시지를 출력하는 명령어는 일부 라인을 읽을 수 있는 명령어와 전체 라인을 읽을 수 있는 명령어로 나뉩니다. 인자를 사용 하지 않거나 제한된 개수의 인자를 사용하는 명령어의 경우 파일의 특정 라인을 읽 을 수 있는 반면, 인자 개수 제한이 없는 명령어의 경우 파일 라인 전체를 읽을 수 있습니다. 또한 권한에 따라 사용 가능한 명령어가 제한되는데, 모든 라인을 읽을 수 있는 명령어는 특정 설정 환경에서만 동작됩니다.해당 경로가 디렉토리일 경우 디렉토리 내부 파일 목록해당 경로가 파일일 경우 파일 내용CVE-2024-43044Jenkins 설치 시 기본으로 설치되는 Remoting 라이브러리에 대한 취약점입니다. 라 이브러리 자체는 기본으로 설치되지만, Jenkins에 Agent가 등록되어 있고 공격자가 Agent 접근 권한을 가질 경우 취약점을 사용할 수 있습니다.해당 라이브러리는 Jenkins 서버와 Agent의 통신 기능을 구현하며, Agent가 서버에 요청한 JAVA 클래스를 실행할 수 있는 기능을 포함합니다. 서버 URL의 JAR 파일을 실행하는 목적으로 구현된 것으로 파악되지만, 파일 경로 및 타입을 검사하지 않기 때 문에 서버 시스템의 임의 파일을 읽어 Agent로 전송할 수 있습니다. 이 취약점을 통해 디렉토리 리스팅 및 임의 파일 읽기가 가능합니다.분석 결과 RemoteClassLoader 클래스의 특정 메소드에 코드를 추가하는 것으로 취 약점을 구현할 수 있습니다. 파일 경로가 디렉토리일 경우 디렉토리 리스트를 응답하며, 파일일 경우 파일 내용 전체를 응답합니다.결론CVE-2024-23897은 공개된 사이트에 다수의 PoC 코드가 존재하며, PoC 코드가 아니더라도 Jenkins 패키지에 기본으로 포함 된 CLI 접속 도구로 취약점 구현이 가능하기 때문에 누구든지 즉시 공격이 가능합니다. 해당 취약점의 대상 버전 사용자는 확인 즉 시 완화 버전으로 패치할 것을 권고하고 있습니다.CVE-2024-43044도 마찬가지로 위험도 높은 취약점으로 설명되고 있으며, 제조사에서는 즉시 업데이트가 어려울 경우를 위해 문제가 되는 fetchJar 메소드 자체를 사용하지 못하도록 패치하는 프로그램을 제공하고 있습니다.두 취약점은 구현 난이도가 낮고 서버의 중요한 파일 내용이 유출될 수 있으므로 악용될 경우 큰 피해가 예상됩니다. 취약한 버전으 로 지속 운영 시 공격 대상으로 노출될 수 있으므로, 피해 예방을 위하여 즉시 최신 패치를 적용해야 합니다.해당 사례 외에도 공격자는 여러 유명 제품의 알려진 취약점을 악용하여 공격을 시도합니다. 사용 중인 서비스를 항상 최신 버전으 로 유지해야 하며 각종 보안 설정을 통해 공격자의 취약점 스캐닝 및 공격을 방어해야 합니다. 또한 국내외 보안 권고를 상시 확인 하여 대상 서비스를 운용 중인 경우 신속한 조치와 함께 피해 여부를 점검해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Kaspersky의 TDSSKiller를 악용하는 Ransomhub

RansomHUB의 유출 사이트내 소개 페이지Kaspersky의 TDSSKiller 소개RansomHUB와 TDSSKillerRansomHUB는 다양한 국적의 해커들로 이루어진 랜섬웨어 공격 그룹입니다. 이들은 자신들의 홈페이지에서 특정 국가와 비영리 단체에 대한 공격을 금지한 다고 명시하고 있으며, 특히 CIS, 쿠바, 북한, 중국을 표적으로 삼지 않겠다고 명시했습니다. 글로벌 해커라는 그들의 주장과는 다르게 전통적인 러시아 랜섬웨어 공격 조직과 유사한 모습을 보입니다.Kaspersky는 표준 보안 도구를 우회를 할 수 있으며, 탐지하기 어려운 두가지 멀웨어인 루트킷과 부트킷을 시스템에서 탐지할 수 있는 도구로 TDSSKiller를 만들었습니다. RansomHUB 그룹은 오히려 Kaspersky의 TDSSKiller를 사용하여 대상 시스템을 공격해 엔드포인트 탐지 및 대응(EDR) 서비스를 비활성화하려고 시도하고 있습니다.TDSSKiller에서 지원하는 명령 매개변수 (출처: Malwarebytes)RansomHUB의 공격 흐름RansomHub는 TDSSKiller를 악용하여 컴퓨터에서 실행 중인 안티 악성소프트웨어 서비스를 비활성화하는 스크립트 및 배치 파일을 사용해 서버의 커널에 접근을 시도합니다. RansomHub는 TDSSKiller를 사용해 동적으로 생성된 이름의 파일을 임시 디렉토리에서 실행하여 스캐닝을하고, 권한 획득에 사용합니다.TDSSKiller는 유효한 인증서로 서명된 합법적인 도구로 인식되어 보안 솔루션이 TDSSKiller를 악용한 RansomHub의 공격을 탐지하거나 차단할 수 없게 됩니다.공격에 성공한 다음 RansomHub는 LaZagne 도구를 사용하여 데이터베이스에 저장된 크리덴셜을 추출하려고 시도합니다. 이들은 크리덴셜을 탈취한 후 시스템을 조작합니다. 그 후 해당 로그를 삭제하여 자신들의 활동을 은폐하려 합니다.결론Kaspersky의 합법적인 도구인 TDSSKiller를 악용하는 공격조직 RansomHUB가 등장했습니다. 이들은 TDSSKiller를 악용해 인 프라 스캐닝을 진행하고, 커널에 접근하여 권한을 상승시킵니다. 공격에 성공한다면 LaZagne 도구를 사용해 크리덴셜을 탈취하고 접근 로그를 삭제해 흔적을 지우려 합니다. 이번 공격은 TDSSKiller를 악용했기에 시스템 상에서는 합법적인 도구로 판단, 탐지 및 차단이 어렵습니다.RansomHUB 에 대한 보안 권장 사항• TDSSKiller의 악용을 통해 EDR 솔루션을 비활성화 할 수 없도록 EDR 솔루션의 변조 방지 기능을 활성화• 서비스 비활성 화 및 삭제를 위한 매개변수 ‘-dcsvc’ 플래그 모니터링• TDSSKiller 자체의 실행 모니터링이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

[카드뉴스] 개인정보보호 권리행사 방법

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

악성 CrowdStrike 도메인 분석: 영향을 받는 대상과 향후 발생할 수 있는 문제

악성피싱사이트(출처: akamai.com)서론 2024년 7월 19일 금요일, 최근 CrowdStrike Falcon 콘텐츠 업데이트 이후 디바이스 대부분에서 블루스크린이 나타나는 현상으로 전 세계가 떠들썩했습니 다. 이 업데이트로 인해 WIndows 호스트에서 버그 검사가 트리거되어 전세계 적으로 BSOD(Blue Screens Of Death)가 발생했고, 여러 지역에서 수십억 건의 시스템 중단이 발생했습니다.전세계적으로 850만 대의 디바이스가 영향을 받은 이번 서비스 중단으로 항공, 정부, 헬스케어 같은 중요 서비스를 포함한 거의 모든 업계가 타격을 입었으며, 일부는 인시던트 발생 후 며칠이 지난 후에도 실제적인 영향을 미쳤습니다. 뉴스에 보도될 만한 사건의 경우 종종 그렇듯이, 공격자들은 업데이트로 인한 광범위한 혼돈과 혼란에 편승해 상황을 악용하려고 즉시 시도했습니다. 서비스 중단의 규모와 이를 둘러싼 뉴스의 보도 범위로 인해 당황한 많은 사용자가 어 디서든 답을 찾을 수 있는 정보를 찾게 되었습니다.CrowdStrike지원과관련이있다고주장하는상위악성 도메인현황악용하는 공격자전 세계 엣지 네트워크에서 수집한 데이터를 분석해 이 인시던트와 관련된 사기 에 가장 많이 사용된 악성 도메인을 확인했습니다. 이미 확인된 위협은 와이퍼, 스틸러, 원격 접속 툴(RAT) 등 여러 분야에 걸쳐 있습니다.이러한 상위 도메인의 시장 점유율은 거의 비슷했습니다. 이러한 도메인의 대부 분은 [.]com 최상위 도메인을 가지고 있으며, 이는 어디에나 있기 때문에 미묘 한 정상성을 가지고 있습니다. 여러 도메인에서 ‘bsod’ 및 ‘Microsoft’와 같은 일반적인 키워드가 발견되는데, 이러한 키워드는 지식에 굶주린 피해자가 정보 수집을 위해 자주 사용하느 부수적인 검색어입니다.업계별공격데이터분석모두가 잠재적 공격대상 공격 데이터 전반에 걸쳐 업계에 집중되어 있지 않은 것을 보면 이 인시던트의 광범위한 스펙트럼을 가장 잘 알 수 있습니다. 이 번 인시던트로 큰 피해를 입은 일부 업계, 특히 교육과 공공 부문은 사이버 공격의 표적이 되지 않는 경우가 많 다는 사실이 놀라웠습니다.비영리 및 교육:안타까운 표적첨단 기술과 금융 서비스가 제로데이 공격의 가장 큰 피해자가 되는 것은 익숙 한 일이지만 29% 이상을 차지하는 비영리 및 교육 부문과 공공 부문이 눈에 띕 니다. 이 업계는 문제 해결 측면에서도 큰 영향을 받습니다. 단일 캠퍼스의 학새 용 관리 디바이스 수는 교육기관의 규모에 따라 수천대에 달할 수 있기 때문입 니다.CrowdStrike 에 따른 악성 도메인 등장가짜 IT 서비스 • 이러한 종류의 사기 사이트는 빠른 복구를 도와줄 수 있는 IT 전문 인력인 것처럼 가장하고 목소리 톤도 마찬가지로 긴 박합니다. 이러한 긴급한 상황은 방문자가 개인정보를 제공하도록 유도할 수 있으며, 이는 피싱의 일반적인 특징입니 다. 피싱의 목표는 사용자 입력에서 직접 민감한 정보를 훔치는 것입니다. 가짜 솔루션 • 사람의 도움 없이 빠른 해결책을 찾고 있는 피해자를 위해 가짜 솔루션 캠페인이 있습니다. 이러한 캠페인은 클릭 한 번으로 다운로드할 수 있는 가짜 복구 스크립트나 실행 파일을 통해 빠른 해결책을 제공하는 데 중점을 둡니다.가짜 법률 지원• 모든 악성 캠페인이 기술적인 측면에만 초점을 맞춘 것은 아니며, 일부는 소송을 제기하기도 했습니다. 이러한 캠페인 은 CrowdStrike 중단과 관련된 법률 지원을 제공하는 것처럼 위장해 사용자의 개인정보를 수집하려고 시도했습니다.결론모든 디바이스가 수정되는 시점 이후에도 이 문제와 관련된 피싱 시도가 더 많이 발생할 가능성이 높습니다. 공격자는 소셜 미디어 를 간단히 스크롤하는 것만으로도 어떤 브랜드가 가장 사람들의 감정을 자극하고 어떤 브랜드가 악의적인 이득을 위해 사칭하기에 적합한지 파악할 수 있습니다.이것이 바로 공격자가 하는 일이며, 이를 기억하는 것이 중요합니다.기업을 위한 지침• 측면 이동 간극 분석 또는 공격자 에뮬레이션을 수행하세요. 금전적 이득 을 노리는 공격자는 랜섬웨어를 환경에 유포할 기회를 더 많이 찾을 것입 니다. 악용할 CVE는 아니지만 보안 스택의 중요한 부분을 알고 있는 공 격자로부터 잠재적인 기술적 영향을 받을 수 있습니다.• 알려진 IOC와 관련 IOC를 차단하세요. 이 캠페인과 관련된 알려진 IOC 에 대한 신뢰할 수 있는 정보 출처는 여러 가지가 있습니다. 이 목록이 자 체 리스크 관리 분석과 일치하는 경우 해당 도메인을 완전히 차단하거나 DNS 싱크홀을 통해 악성 도메인과의 통신을 차단하세요.개인을 위한 지침• 도메인의 인증서 및 발급자를 확인• 민감한 정보를 요청하는 도메인은 불법 도메인일 가능성이 높으므로 주의• 오직 CrowdStrike에서직접 제공하는 복구 정보만 따르기• 문제를 해결할 수 있다고 주장하는 이메일 첨부 파일을 열지 말 것 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

치명적인 Apache OFBiz 취약점

Apache OFBiz의 로고NVD(국가 취약점 데이터베이스)에 등록된 CVE-2024-38856Apache OFBiz 에서 발견된 CVE-2024-38856최근 Apache OFBiz에서 초고위험도 취약점인 CVE-2024-38856이 발견 되었습니다. 이 취약점은 18.12.14 까지의 버전들에서 발견 할 수 있으며, OFBiz를 사용하는 사용자라면 주의가 필요합니다.Apache OFBiz는 Apache 재단에서 서비스 하고 있는 무료 오픈 소스 ERP 소프트웨어 입니다. ERP란 재무, 인사 관리, 제조, 공급망, 서비스, 조달 등 비 즈니스의 여러 문을 자동화 할 수 있도록 지원해 운영 효율성을 높여주는 소프 트웨어 시스템입니다. 특히 Apache OFBiz는 기업에서 무료로 사용할 수 있 으며, 소스코드를 임의로 수정 할 수 있다는 이유로 다양한 기업 등에서 사용 중이기에 해당 취약점이 더 큰 영향을 끼칠 수 있습니다.취약점 공격 시연 영상 (출처: 보안블로그 SonicWall)Apache 재단에서 공개한 해결 방안(출처: Apache 재단 github)CVE-2024-38856 취약점의 공격 흐름CVE-2024-38856 취약점은 SonicWall 연구원들에 의해 발견된 취약점으 로 CVSS 9.8점을 기록한 높은 위험도를 가진 취약점으로 원격 코드 실행 (RCE)을 가능하게 하는 취약점 입니다. 이 취약점은 이전에 알려진 CVE2024-36104 취약점을 우회할 수 있는 방법으로 보고된 적이 있습니다.CVE-2024-38856 은 아파치 프로그래밍 언어인 그루브(Groovy)의 실행 코 드에 있는 버그를 악용하여 공격이 이루어집니다. 공격자가 변수 조작을 통해 잘못된 값들을 초기화 변수로 삽입해 버그를 발생시킵니다. 이 버그로 인해 공 격자는 사용자의 추가적인 인증 없이도 중요한 엔드포인트에 접근할 수 있는 오버라이드 뷰 기능을 조작할 수 있게 되고, 시스템의 기본 보안 설정을 우회, 원래는 접근할 수 없는 데이터를 보거나 조작할 수 있게 됩니다. 결론Apache OFBiz에서 CVSS 9.8점을 기록한 초고위험도 취약점인 CVE-2024-38856이 발견됐습니다. 개념 증명용 코드인 POC가 공개되어 공격자들이 해당 취약점을 악용할 가능성이 높기 때문에 OFBiz를 사용하고 있는 사용자라면 주의가 필요합니다. CVE-2024-38856은 원격 코드 실행이 가능한 취약점으로 공격에 성공한다면 민감한 데이터에 대한 무단 접근이 가능해지며, 비즈 니스 운영에 큰 악영향을 줄 수 있습니다. 더욱이 Apache OFBiz를 사용하는 기업이나 기관이 많은 만큼 각별한 주의를 요합니다.CVE-2024-38856에 대한 보안 권장 사항 • KISA의 업데이트 권고 - Apache OFBiz 18.12.15 까지의 구 버전 사용시 권한 검사 기능인 security.hasPermission()이 추가된 18.12.15 이상 버전으로 업데이트 필요 • CISA의 권고 - 업데이트가 어렵다면 취약한 엔드포인트 비활성화 고려 필요 - 네트워크에서 OFBiz 인스턴스를 분리하는 등의 조치 등 고려 필요이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스