통합검색
'' 검색결과는 총 125 건 입니다.
침해사고신고현황(출처: KISA 2024년상반기사이버위협동향보고서)유형별침해사고신고현황(출처: KISA 2024년 상반기사이버위협동향보고서)2024년 상반기 사이버 위협 동향 보고서한국인터넷진흥원에서 발표한 연도별 침해사고 신고 건수에 따르면 2024년 상반기 침해사고 신고 건수는 899건으로 2023년 상반기 대비 35% 증가하였습니다. 이는 Web shell 및 악성 URL 삽입, DDoS 공격 등이 크게 증가했기 때문입니다.2024년 상반기 유형별 침해사고 신고 통계를 보면 서버 해킹이 전년 상반기 대비 58%가 증가한 504건으로 가장 많이 증가했습니다. 이는 상대적으로 보안관리가 취약한 중소기업 등을 대상으로 홈페이지 웹 취약점을 악용한 Web shell 공격 등이 증가한 것으로 보입니다. 그 다음으로는 DDoS 공격이 153건으로 전년 상반기 대비 23% 증가했습니다.웹쉘공격의흐름도Web Shell 공격의 흐름도 • 파일 업로드 시도 파일 업로드 기능을 가진 피해자의 웹 페이지에 Web shell 파일 업로드 시도 • 피해 서버에 파일 저장 피해자 웹 페이지에 업로드 요청된 Web shell 파일이 업로드에 성공한다면, 서버에 해당 Web shell 파일이 저장 • 업로드 된 Web shell 파일에 접근 공격자는 서버에 업로드 된 Web shell 파일에 접근하여 공격명령어를전달 • 공격 수행 명령어를 전달 받은 Web shell 파일은 공격자가 유도하는 악의적인행위를 수행Web shell 공격으로 인한 피해 최근 웹 해킹에서 자주 사용되는 기법이 Web shell 공격입니다. 기본적인 Web shell 공격은 피해 웹사이트의 파일 업로드 기능을 악용 하여 수행됩니다. Web shell 이 서버에 상주하게 되면 서버의 모든 권한을 장악하고 그 이후 동일 네트워크의 다른 서버에 2차 공격을 가하거나 멀웨어를 업로드해 서버 상에 큰 피해를 입힐 수 있습니다.KISA의 2024년 상반기 사이버 위협 동향 보고서를 살펴 보면 전년 상반기 대비 가장 많이 증가한 공격이 바로 서버 해킹이었습니다. 이런 서버 해킹의 다수가 상대적으로 보안관리가 취약한 중소기업 등을 상대로 Web shell 을 사용한 웹취약점 공격 시도인 것으로 분석 되었습니다.Web shell 은 JSP, ASP, PHP등과 같은 스크립트로 작성 되어 있으며, 다양한 취약점 공격에 활용되고 있습니다. 지난4월엔 국내 기업의 ERP 서버가 MS-SQL 서비스를 공격 당해 Web shell 이 설치 되었고, 이후 Web shell 을 이용해지속성을 유지하며 감염 시스템들이 제어 되었으며, 감염 시스템을 VPN 서버로 활용한 정황까지 밝혀진바 있습니다.결론Web shell 공격은 Web shell 파일이 서버에 업로드 되면 서버의 모든 권한을 장악할 수 있고, 웹 서버 내 모든 자료를 열람할 수있을 뿐만 아니라 웹 페이지 변환, 추가 악성코드 업로드 등 치명적인 피해를 입힐 수 있습니다. 더 나아가 동일 네트워크의 모든 서버들 까지 위협하는 등 한번의 공격으로 끝나는 것이 아니라 2차, 3차 피해까지 발생할 수 있는 치명적인 위협입니다. 그렇기에Web shell 공격을 사전 예방에 서버를 보하는 것이 중요합니다.Web shell 공격 예방법• 홈페이지 중 파일 업로드가 불필요한 게시판은 업로드 기능을 완전히 제거, 파일 업로드가 필요한 게시판의 경우 파일의 확장자(asp, cgi, php, jsp 등의 확장자 차단) 검증을 수행해야 합니다.• 파일 업로드 폴더의 실행 제한이 필요합니다. 웹 서버 상에서 파일 업로드 폴더를 따로 만들고 해당 폴더에서 스크립트 파일 실행을 제한해 파일 업로드 폴더에선파일이 실행되지않도록 방지합니다.• SQL Injection 방지 또한 필요합니다. Web shell 은 파일 업로드 취약점 뿐만 아니라 SQL Injection을 이용한 공격도 가능하므로 DB 쿼리 관련된특수 문자들을 필터링 하도록 설정, 해당 특수 문자들이 입력 값에 포함되어 있으면 에러를 발생시켜 악의 쿼리가 실행되지 않도록 방지해 예방 할 수있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
PHP 그룹의 로고Gh0stRat 툴의 UI (출처: 트랜드마이크로)원격 코드 실행 취약점 CVE-2024-4577최근 PHP의 원격 코드 실행 취약점(CVE-2024-4577)이 공격자들에 의해활발히 활용되고 있습니다. PHP는 대표적인 서버 측 스크립트 언어이며, 전 세계 수 많은 웹 시스템의 기반이 되는 언어로 기본적으로 내장된 웹 관련 함수가 많아 웹 페이지 제작 시생산성이 높다는 장점이 있어 많이 사용되고 있는 언어입니다. CVE-2024-4577 취약점은 원격 코드 실행 취약점으로 공격에 성공할 경우원격 PHP 서버에서 임의의 코드를 실행할 수 있게 되는 취약점 입니다. 공격자들은 이 취약점을 활용해 각종 멀웨어를 유포시키고 있습니다. 유포 되고 있는 대표적인 멀웨어는 고스트랫(Gh0stRat) 원격 접근 툴과 레드테일(RedTail) 암호 화폐 채굴 툴 등이 있습니다.CVE-2024-4577 취약점 테스트NVD의 CVE-2024-4577에 관한 설명과 CVSS 점수CVE-2024-4577 분석PHP는 윈도우의 로케일 설정을 따르게 되며, 이에 따라 가장 유사한 다른 문자로 매핑하여 유니코드 문자를 지원하지 않는 시스템에서도 최대한 유사한 문자로 표현 할 수 있도록 인코딩 하는 기능인 Best-Fit Mapping을 사용해 인코딩을 하게 됩니다. 그리고 Best-Fit Mapping 기능이 유니코드 문자인 소프트 하이픈(“”, 0xAD)을 일반 문자인 하이픈(“ - ”, 0x2D)으로 인코딩하면서 CVE-2024-4577 취약점이 발생 했습니다. PHP의 CGI 핸들러는 일반 하이픈(“ - ”)은 필터링 하지만 소프트 하이픈 (“”)을 필터링 하지 않아 Best-Fit Mapping을 통해 변환된 하이픈(“ – “)으로 인자 삽입을 시도 할수 있게 되며, 이를 통해 원격 실행 공격을 시도 할 수 있게 됩니다.CVE-2024-4577은 해당 취약점을 통해 실제로 공격이 가능한지 보여주는시현 소스코드인 PoC가 공개되어 있으며, 공격 난이도도 낮아 실제 공격에 사용될 가능성이 높아 주의가 필요한 취약점입니다.결론최근 발견된 취약점 CVE-2024-4577를 다수의 공격자가 활발히 사용 중인 취약점 입니다. 이 취약점은 NIST에서 관리하는 국가취약점 데이터베이스(NVD)에서 CVSS 점수 9.8점을 받았을 정도로 심각한 위험으로 공격에 성공하게 된다면 원격 PHP 서버에서임의의 코드를 실행 할 수 있게 됩니다. 공격자들은 이 취약점을 통해서 고스트랫(Gh0stRat) 과 같은 원격 접속 툴이나 레드테일(RedTail)과 같은 암호 화폐 채굴 도구, XM리그라는 암호 화폐 멀웨어 등 각종 멀웨어를 설치해 다양한 손해를 입힐 수 있게 됩니다. 이 취약점은 이미 지난 6월 PHP 공식 그룹이 패치를 출시하였으며, 해당 취약점을 방지하기 위해 패치 하는 것이 권장됩니다.CVE-2024-4577에 대한 보안 권장 사항• KISA가 밝힌 영향을 받는 버전 • 8.3.8 이전 버전 침해사고 방지를 위해 8.3.8 버전으로 업데이트 권장 • 8.2.20 이전 버전 침해사고 방지를 위해 8.2.20 버전으로 업데이트 권장 • 8.1.29 이전 버전 침해사고 방지를 위해 8.1.29 버전으로 업데이트 권장 • 업데이트가 불가능한 경우, 윈도우용 XAMPP를 사용한다면 설정 파일에서 PHP CGI 디렉토리 노출 제거 • Rewrite 규칙을 사용하여 공격을 차단이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
중소기업 침해사고 피해지원서비스 동향 (2024년 1분기)
침해사고통계피해업체의관리자페이지(출처: KISA)2024년 1분기 침해사고 통계 침해사고통계 옆의 표는 침해사고 신고 중 중소기업 침해사고 피해지원서비스에서 기술지원했던 사고유형 Top 10 이다. 2024년 1분기 가장 많았던 사고유형은 해킹 경유지가 32.55%로 가장 높은 비중을 차지하고 있으며 문자 무단발송, 피싱, 랜섬웨어, 정보유출 순으로 나타났다.해킹 경유지는 침해사고를 분석하다 발견된 피해서버 내 웹쉘에 접근하거나 추가 피해서버로 확인된 서버를 말한다. 2024년 1분기 해킹 경유지가 많이 차지한 이유는 침해사고 분석 중 발견한 해킹 경유지가 많아 자체섭외된 피해기업이많기 때문이다.1분기 내내 높은 비중을 차지한 사고유형은 문자 무단발송이다. 문자 무단발송의 경우 2023년 12월 말 부터 꾸준하게 신고 및 기술지원한 사고유형이다. 문자 무단발송 침해사고의 경우 피해기업 홈페이지에 문자발송 시스템을 해킹하여 스미싱, 스팸문자를 발송한다.문자무단발송공격을수행하는공격자의행위공격자의 행위 흐름• 최초 침투(Initial Access) 무차별대입 공격, 사전대입 공격을 통한 취약한 관리자 계정 정보 탈취 파일 업로드 취약점을 악용한 웹쉘파일 업로드 • 지속(Persistence) 웹쉘을 사용한 공격 수행 • 수집(Collection) 데이터베이스 접근을 통한 사용자 계정 정보 수집 • 영향(Impact) 불특정 다수에게 스팸 메시지(SMS) 발송으로 금전피해 발생 문자 발송 시스템 오류로 사용 가용성 침해문자 무단발송 침해사고문자 메시지는 우리 일상 속에서 빼놓을 수 없는 통신 수단 중 하나이다. 간단한 일상 대화부터 중요한 경조사 소식을 나눈 데까지 널리 사용된다. 하지만, 이러한 편리한 서비스가 때때로 악의적인 목적으로 변질 되기도 한다. 바로 불법적인광고를 목적으로 한 스팸 메시지가 그 예이다. 우리는 일상 속에서 스팸 메시지에 직면하며, 이로 인한 불편함과 함께 보안 위협을 경험한다.2024년 1분기 문자 무단발송 신고는 전체 침해사고의 15%를 차지하고 있으며, 문자 발송 서비스를 지원하는 업체는 증가하는 추세이다. 문자 무단발송 침해사고는 문자발송 서비스와 연동하여 운영되는 ERP 솔루션의 취약점을 악용하여 침투 후 데이터 베이스에 저장된 사용자 연락처를 수집해 대량의 스팸문자를 발송한 사고로 확인된다.서비스 사용자 관점의 대응방안 • 메시지 내 링크 연결 주의 – 메시지 내용이 발신자와 관련 없거나 의심스러운 경우 사용자는 각별한 주의를 기울여야 한다.• 사칭 스팸 문자 해당 기관에 문의 – 반드시 문자에 기재되어 있는 기업, 은행 등에 직접 문의해 해당 사실을 확인해야 한다.• 통신사에서 제공하는 스팸 차단 서비스 신청 – 받고 싶지 않은 번호나 문구를 직접 추가하여 차단할 수도 있다.서비스 제공자 관점의 대응방안• 관리자 페이지 및 계정 관리 강화 복잡한 아이디와 비밀번호 사용 다단계 인증 도입 접근제어 목록(IP화이트 리스트) 로그인 시도 제한 주기적 비밀번호 변경• 파일 업로드 보안 강화• 웹 로그 주기적 점검 및 백업• 웹 로그 설정• 주기적인 악성 파일 점검 및 제거• 한국인터넷진흥원정보보호 서비스 활용스미싱위협주의안내(출처: KISA)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
통신사 인터뷰 요청 위장 이메일 접근 화면(출처 : GSC)LNK를 통해 실행되는 파워쉘 명령어외신 인터뷰 의뢰 사칭 김수키 공격 발견김수키 그룹이 페이스북 정찰을 통해 추가 공격 대상자 탐색 후, 스피어 피싱으로 은밀히 공격 중인 정황을 포착했습니다.김수키 그룹은 MS관리콘솔을 이용한 공격을 지속하고 있으며, 현재 3종의MSC 악성파일이 추가 발견됐지만, 발견되지 않은 더 많은 변종이 있을 것으로 추정됩니다.해당 파일은 전세계 645개의 보안 및 백신 프로그램에서 탐지되고 있지 않고있으며, MSC 파일 내 Powershell 작업 명령 매개변수를 통해 C2 호스트‘profilepimpz[.]com’ 도메인을 통해 MSI 유형의 PlugX(aka KorPlug) 악성파일이 설치됩니다.Kimsuky 그룹의 MSC, HWP 기반 공격 흐름도공격 시나리오이번 김수키 APT 캠페인 건은 하나의 공격 시나리오로 단정해 설명하기 어렵습니다. 해당 위협 행위자들의 여러 사이버 작전 활동에 연속성과 복잡성이 보이기 때문입니다.지난 번 공격 시나리오가 북한 인권분야 공직자 사칭의 페이스북 계정이 악용됐다면, 금번 사례는 외신 통신사 소속의 신분처럼 위장한 이메일로 복수의 북한 인권 활동가에 접근한 점이 다릅니다.이처럼 두 케이스 모두 ‘북한 인권 분야‘라는 공통점이 있고, hwp 악성 문서와함께 ‘MS 관리 Console’ 프로그램을 통해 실행되는 ‘MS Common Console 문서(msc)’가 활용된 특징이 있습니다.요즘 추세는 정상 내용의 질문 및 협조 요청을 담아 오랜기간 신뢰와 친밀도를유지하며 대화하는 이른바 반응형 투트랙 스피어 피싱 공격이 늘어나는 추세입니다.결론2분기에 들면서 HWP 문서내 악성 OLE를 삽입한 공격 사례가 조금씩 발견되고 있습니다. 물론, LNK 바로가기 유형의 악성 코드는 5월까지 꾸준히 보고됐습니다. 특히, MSC 관리콘솔을 이용한 위협이 연이어 식별된 것은 매우 주목할 점입니다. 이른바 ‘백신프로그램’의 탐지율이 저조한 것도 그만큼 널리 알려지지 않았기 때문입니다. 김수키 그룹이 MSC 관리콘솔 명령을 국지적 APT 공격에 적극 활용한 이유는 시그니처(패턴) 기반의 보안 탐지 회피 전략으로 평가됩니다. 국가배후 위협그룹은 단말에 설치된 백신 프로그램의 탐지를 회피하는 노력을 꾸준히 진행 중입니다. 특히, MSC 기반 공격이 증가하고 있어 각별한 주의가 필요합니다.APT 공격에 대한 보안 권장 사항• 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다.• C2 서버와 통신을 차단하기 위해 IP 차단을 진행해야 한다.(C2 IP : 89.40.173[.]131, 46.252.150[.]82)• 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다.• Anti-Virus 제품의 업데이트를 최신화 해야 한다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
GitLab의위협행위자계정(출처: 블리핑컴퓨터)2024년 4월 악성코드 유형별 비율2024년 4월 악성코드 공격 동향2024년 4월(1일~30일까지 집계) 한 달 동안 국내외에서 수집된 악성코드 현황을 분석및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다.지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기간을 표적으로 하는‘JsOutProx’ 악성코드가 발견된 것이다.또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다. 이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다.SSLoad 악성코드 화면 (출처 : 해커뉴스)금융기관을 표적으로 삼는 JsOutProx4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜결제알림을 보낸다고 전했다.사용자가 이메일의 첨부 파일을 실행하면 깃랩 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다.분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국관련 공격자가 배후에 있을 것으로 추정했다.안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 해당 악성코드가 정부기관과 온라인증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다.피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 이에 대해 캠페인 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다.결론4월 악성코드의 행위는 이메일을 시작으로 하여 피싱, 첨부파일 클릭 유도 등 사회공학적인 기법이 많이 들어간다. 그 이후악성코드가 다운로드가 되어 실행하게 되면 피해자에게 연결하여 개인정보 유출 등이 시작되므로 반드시 주의해야 할 것이다. 그러므로 출처가 불분명한 이메일을 받아볼 시 주의하면서 읽어야 하는 습관을 들여야 할 것이다.피싱 이메일 피해 예방 방법• 출처 불분명한 이메일, 문자메시지,블로그 등에 포함된 URL에접근하지않는다.•개인 정보(로그인), 금융 정보(보안카드)에 대한 입력이 필요할 때는 주소창에 자물쇠 그림을 확인 한다.•보안강화, 업데이트 명목으로 개인 정보/금융정보를 요구하는 경우절대 입력하지 않는다.•가급적 메일에 포함된 링크를클릭하지않고,검색을 통해새창에서 사이트를연다.피싱메일유형및예방법(출처: 국가사이버안보센터)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
LNK 속성 (출처: ASEC)LNK를 통해 실행되는 파워쉘 명령어Cloud Storage를 활용하는 APT 공격최근 북한 해커 조직 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중한 것으로 드러났다. 클라우드 저장소를 공격 거점으로 활용했으며, 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도한 정황이 포착됐다. 특히 ‘바로가기(LNK)’ 타입의 공격이 지속돼 각별한 주의가 요구된다.전형적인 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용 중인 보안 메일 내역처럼 위장한 것이 특징이다.초기 접근은 정상 이메일로 시작, 반응형 스피어 피싱 전략 구사하며 합법적인 클라우드 저장소의 다단계 공격 체인과 RAT 공격 활용 APT43 그룹의 BabyShark 위협 캠페인 연장선으로 확인이 된다.동작 구조Cloud Storage를 활용하는 APT 공격 동작1. 유포 파일(바로가기 파일(*.LNK))• LNK 파일에는 파워쉘 명령어가 존재하며 ms_temp_08.ps1 파일명으로 저장 후 실행• 생성된 ms_temp_08.ps1 는 디코이 문서 파일과 추가 악성 파일 다운로드및 작업 스케쥴러 등록 행위를 수행• ms_update.ps1 파일은 클라우드 저장소에서 SoJ****-X.txt 파일을 다운로드 한 후 info.ps1 명으로 저장 후 실행2. 클라우드를 통해 다운로드 된 악성코드• 파워쉘 명령어로 사용자 PC 정보를 수집하여 공격자 클라우드에 업로드• info.ps1(SoJ****-X.txt) 파워쉘 명령어로 특정 파일을 공격자 클라우드에 업로드하고, 추가 악성코드를 다운로드 및 실행• system-xn.dat 악성코드는 XenoRAT으로 공격자의 명령어를 수행(C2 : 159.100.29[.]122:8811)결론2024년 1분기까지 바로가기(LNK) 유형의 APT 공격은 계속 이어지고 있다. 한국을 공격 대상으로 활동하는 주요 위협 행위자들은 초기 침투단계시 단말에 설치된 Anti-Virus 탐지 회피 효과를 극대화하기 위해 이 방식을 전략적으로 사용 중이다. 특히, 합법적으로 서비스 중인 글로벌 클라우드 저장소를 일종의 위협거점 인프라로 지속 활용 중이다. 그러므로 개인 이용자를 포함해 기업 및 기관의 보안관리자는 주요 클라우드 저장소의 통신 이력도 세심히 살펴볼 필요가 있다. 주로 PowerShell 스크립트와 클라우드 서비스가 제공하는 정상 API 기능을 활용해 Fileless 기반 공격을 수행하기 때문이다. 특히, 암호화된 코드와통신으로 인해 이상행위 탐지와 식별이 쉽지 않다. 한편 구글드라이브, 드롭박스, 원드라이브 등은 APT 공격에 악용된 서비스 계정 차단과 후속조치를 위해서는많은보안 전문가들의 지원과 협력이 중요하다.Cloud storage APT 공격에 대한 보안 권장 사항• 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다.• C2 서버와 통신을 차단하기 위해 동작 과정에서 설명한 IP 차단을 진행해야 한다.(C2 IP : 159.100.29[.]122:8811)• 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다.• Anti-Virus 제품의 업데이트를 최신화 해야 한다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 3월 진단명별 데이터 유출 현황2024년 3월 국가별 데이터 유출 비율2024년 3월 랜섬웨어 록빗과 플레이로 가장 큰 피해2024년 3월(1일~31일까지 집계)에 집계한 랜섬웨어 공격은 록빗과 플레이로 가장 큰피해를 입은 달이 아니였나 싶습니다. 3월 집계한 결과로 보았을 때 진단명별로 데이터유출 현황을 보면, 록빗과 플레이가 가장 많은 공격을 한 사례가 되었으며, 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었습니다.3월 한 달간 랜섬웨어 동향을 조사한 결과, 스코틀랜드의 국립 보건 서비스가 "INCRansom“ 조직의 공격으로 데이터가 유출된 정황이 발견되었습니다. 또한, 스위스 정부와 일본의 자동차 제조 업체 Nissan에서 각각 “Play”와 “Akira” 랜섬웨어의 영향으로 유출된 데이터 정보를 공개했습니다. 한편, 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정 기관은 지난 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌습니다.국내/외 랜섬웨어 피해 타임라인스위스 정부, Play 랜섬웨어 피해 사례 3월 초, 스위스 정부에서 “Play”랜섬웨어 공격의 영향으로 유출된 데이터의 분석결과를 발표했다. “Play” 측은 작년에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부 기관에서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 이후 진행된사건 조사에서 유출된 데이터 중 약 65,000개가 정부의 것임을 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고덧붙였다. 피해 정부 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 없는 것으로 확인된다.미국 콜로라도주 국선 변호인실, 랜섬웨어 피해 사례 미국의 콜로라도주 국선 변호인실이 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 기관은 2월초 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편, 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경계심을 유지할 것을 권고했다.미국 온타리오주 해밀턴시 행정 기관, 랜섬웨어 피해 사례3월 말, 미국 온타리오주에 위치한 해밀턴시의 행정 기관에서 랜섬웨어 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했음을 알렸다. 이에 대해 중단된 서비스는 직원이 수동으로 대응하며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영한다고 전했다. 이후, 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구와 재건축에 중점을 두고 작업 중이라고 발표했다. 이번 사건에 대한 배후자는 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.결론랜섬웨어는 국가 핵심 인프라 시설과 기업을 대상으로 대규모 공격을 지속하였으며, 파일을 암호화하는 것 뿐만 아니라 기업의 기밀 정보를 유출함으로써 2차 피해 우려를 낳고 있습니다. 때문에 세계 각국에서는 랜섬웨어를 대응 및 예방하고자 다양한 지침을 발표하였고, 국내‧외에서 발생한 랜섬웨어 사건‧사고에 대해 알아보고 랜섬웨어에 대응해야 하겠습니다.랜섬웨어 피해 예방 방법• 정기적인 데이터 백업: 중요한 데이터를정기적으로 백업하고최소한 한 개 이상의 전체 백업을오프라인으로 유지하세요.• 소프트웨어업데이트: 운영 체제와 응용 프로그램을 최신버전으로 유지하고보안 패치를 적용하세요.• 신뢰할 수 있는 백신 소프트웨어설치: 랜섬웨어를 예방하기 위해 신뢰할 수 있는 백신 프로그램을설치하고 최신 버전으로 업데이트하세요.• 의심스러운이메일과 URL 조심: 출처가 불분명한이메일과 URL 링크를 실행하지 않도록 주의하세요.• 파일 확장자 확인: 알려진 랜섬웨어확장자를 확인하고 의심스러운 파일을 열지 않도록 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
CVE-2024-3400 취약점 제로데이, Palo Alto Networks사 방화벽 공격
CVE-2024-3400 취약점 이슈 발표 (출처: 보안뉴스)초기 Python 페이로드 (출처:BleepingComputer)CVE-2024-3400 제로데이 취약점최근 3월 26일부터 Palo Alto Networks 방화벽의 제로데이 취약점(CVE2024-3400)을 악용한 공격이 발생하였습니다. 해커들은 취약한 방화벽 장치를 이용하여 내부 네트워크를 침해하고 데이터와 자격증명을 훔쳐왔습니다. 해커들은 PAN-OS 방화벽 소프트웨어의 인증되지 않은 원격 코드 실행 취약점을 적극적으로 악용하고 있으며, 긴급 패치인 핫픽스는 19일에 패치될 예정이라 모든 버전에서 패치가 제공되기까지는 시간이 소요돼 이용자들의 각별한 주의가 요구되는 상황입니다.이 제로데이 취약점은 팔로알토 방화벽의 GlobalProtect VPN 기능이 활성화돼 있다면 공격 대상이 됩니다. 공격 대상이 된 방화벽은 공격자가 인프라에reverse shell을 생성하고 방화벽에 추가 페이로드를 다운로드를 합니다. 설치된 페이로드는 백도어 역할을 하는 PAN-OS용 ‘Upstyle’이라는 백도어를 실행하게 됩니다.CVE-2024-3400 제로데이 공격 흐름도CVE-2024-3400 제로데이 공격 흐름 이 공격은 두 가지 버그를 교묘하게 결합함으로써 취약한 방화벽에서 명령 실행을 달성하기 위해 2단계 공격을 수행할 수 있음을 발견했습니다.1단계에서는 공격자는 유효한 세션 ID 대신 신중하게 조작된 Shell 명령을GlobalProtect에 보냅니다. 이로 인해 공격자가 선택한 파일 이름으로 포함된명령이 포함된 빈 파일이 시스템에 생성됩니다.2단계에서는 정기적으로 실행되는 의심할 여지가 없는 예약된 시스템 작업이명령에서 공격자가 제공한 파일이름을 사용합니다. 이로 인해 공격자가 제공한 명령이 상승된 권한으로 실행됩니다.1단계가 성공했다고 해서 반드시 공격자의 명령이 실행되었다는 의미는 아닙니다. 오히려 단순히 공격자가 방화벽 자체를 손상시키지 않는 이상한 이름의빈 파일을 생성했다는 의미입니다.결론CVE-2024-3400 취약점 제로데이 공격은 Palo Alto Networks사 방화벽을 쓰는 기업에서는 매우 위험한 취약점 공격입니다. 때문에 GlobalProtect VPN 기능을 쓰는 기업이라면은 패치 사항을 적용 시켜 취약점 문제를 해결하는 것이 가장 좋은 방법일 것입니다. 이러한 제로데이 공격으로 부터 보호하기 위해 다음과 같은 보안 권장 사항을 권고합니다.CVE-2024-3400 제로데이 취약점에 대한 보안 권장 사항• 팔로알토 방화벽을 쓰는 기업이라면은 GlobalProtect 기능을 꼭 써야하는지 위험 사항을 체크해봐야 합니다.• 방화벽 접근권한을 최소화 및 방화벽 정책을 최적화 시켜야 합니다.• 공용계정은 사용하지 않도록 합니다.• 이번 취약점 침해지표를 적용시켜 차단 시켜두어야 할 것입니다. 해당 URL 공유(https://unit42.paloaltonetworks.com/cve-2024-3400/)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
연도별 디도스 공격 신고 건수유형별 침해사고 신고 현황디도스 공격, 2024년에도 여전히 위협적인 존재2023년은 디도스(DDoS) 공격과 관련하여 특히 눈에 띄는 해였습니다. 이 해에는 디도스 공격에 대한 신고가 크게 증가했으며, 이는 여러 보안 보고서와 데이터 분석에서 명확하게 드러났습니다. '연도별 디도스 공격 신고 건수'의 동향을 살펴보면, 2023년 국내에서만 디도스 공격에 대한 신고가 213건에 달하는 것을 확인할 수 있으며, 이는 2022년 대비 무려 74.6%나 증가한 수치입니다. 이러한 증가율은 디도스 공격이 얼마나 심각한 문제로 대두되고 있는지를 잘 보여줍니다. 특히, 디도스 공격은 침해사고 유형 중에서도 전체의 20.2%를 차지하며, 서버 해킹(47.8%)과 악성코드 감염(28.2%)에 이어 세 번째로 높은 비율을 기록했습니다.2024년에 들어서도 디도스 공격의 위협은 계속되고 있습니다. 특히 주목할 만한 사건은 2월, 3월 계속 지속되는 인터넷 방송인과 국내 e스포츠 리그, LCK 경기를 대상으로한 디도스 공격입니다. 이 공격은 국내뿐만 아니라 전 세계 e스포츠 팬들에게도 큰 충격과 혼란을 안겨주었습니다.LCK 디도스 공격에 대한 공지(출처 : LCK 페이스북)LCK 디도스 공격 사건2024 LCK 스프링 시즌은 대회 초기까지는 디도스 공격과 같은 문제가 발생하지않아 안전하다고 여겨졌습니다. 대회가 시작된 후, 2월 25일 전까지는 모든 경기가문제 없이 진행되었으나, 2월 25일 경기 중 네 시간 동안 여덟 번의 게임 중단(퍼즈)이 발생했습니다. 처음 발생한 여덟 번의 퍼즈는 네 시간에 걸쳐 발생했으며, 이는 선수들의 핑 문제로 인한 것으로 추정되었습니다. 그러나 이러한 문제가 반복되어, 다섯 번의 퍼즈가 더 발생하자, LCK 사무국은 공식적으로 대회가 디도스 공격을 받고 있다고 발표했습니다. LCK는 경기를 비공개 녹화 중계로 전환했습니다. 이 결정은 공격자들이 경기 시간을 예측할 수 없게 함으로써, 추가적인 디도스 공격을 방지하기 위한 선제적인 조치였습니다. 그러나 디도스 공격의 위협은 남아 있으며, 심지어 한 선수는 경기 후 랙이 심각하다고 언급하기도 했습니다. 이 사건은e스포츠 대회까지 디도스 공격의 타겟이 되고 있음을 보여주며, 문제의 심각성을다시 한번 강조하고 있습니다.3월 인터넷 방송인을 대상으로 한 디도스 피해내용인터넷 방송인을 대상으로 한 디도스 공격 사건최근 인터넷 방송 BJ들과 게임 업계가 대규모 디도스 공격으로 인해 큰 피해를 입었습니다. 이러한 공격은 방송 중단과 게임 플레이에 심각한 지장을 겪었습니다. OBS 문제와의 혼동 사례도 있으나, 대체로 디도스 공격이 주된 원인으로 지목되고 있습니다. 특히 2023년 말부터 2024년 초까지의 기간 동안 더욱 빈번하게 발생하고 있습니다. 이에 따라 방송 플랫폼과 BJ들은 새로운 대응책 마련의 필요성을 느끼고 있으며, 커뮤니티 내에서도 큰 논란이 되고 있습니다.올해 3월 한달 간 리그 오브 레전드(LoL), 배틀그라운드, 로스트아크 등 다양한 게임이디도스 공격의 대상이 되었습니다. 이로 인해 여러 인터넷 방송과 e스포츠 대회들이 방송 중단이나 전략 변경을 겪어야 했으며, 아프리카TV, 치지직, 트위치 등 여러 방송 플랫폼에서 활동하는 인터넷 방송인들이 디도스 공격으로 인해 방송 중단 및 게임 플레이에 큰 지장을 겪었습니다.결론이번 DDoS 공격은 배후에 디스코드 ‘스위스나이프’ 채널1)을 운용하는 곳에서 배포하는 툴로 추정이긴 하나 정황상 한국의 IP 를수집하여 공격했다는 것을 주의해야 하며, 앞으로는 이러한 공격을 막기 위해서는 DDoS 공격을 효율적으로 예방하거나 사이버 대피소 같은 곳을 이용하여 대피하는 것이 중요합니다.1) 스위스나이프 : 디지털데일리 기사에서 추측성 기사 원문을 읽고 쓴 결론으로 해커의목적을 모르기 때문에 추측성 기사글이 난무하게 되어 이런식으로 결론을 맺고자 함.디도스 피해 예방 방법 • 인터넷 대역폭을 확보하는 방법 : 인터넷 대역폭을늘려주는 것이 중요하며, 이로 인해 대량의 트래픽에도견고하게 대응할 수 있게 됩니다.• 주요 콘텐츠나 데이터베이스를분산해서 배치하는 방법 : 가용성을 위해 이중화를 진행을 추진하거나 망분리를 통해 전체 시스템에 대한 영향을 분산 시켜 피해 확산을 줄이는 것이 중요합니다.• 인터넷 트래픽을 실시간 모니터링해 디도스 공격이 발생할 경우 즉각 대응할 수 있도록 하는 방법 : 이러한 방법은 비용과 인력을 필요로 하기에 관제요원을 투입하여 즉각 적으로 대응 하는 것이 효과적입니다.• 정부(KISA)에서디도스 사이버대피소를운영하는 것을 이용 : 첫 번째와 세 번째를 함께 사용한다는 것이 특징이며, 이 방법을 통해 DDoS 공격을 효과적으로 대처할 수 있 고, 중소‧영세기업도효율적으로 이용할수 있습니다.디도스 사이버대피소 절차(출처 : KISA) 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
악성 PDF 파일 내용 (출처: FORTINET)PDF 파일에 삽입된 URL (출처: FORTINET)뱅킹 트로이 목마 최근 3월, 브라질 은행 사용자를 대상으로 하는 CHAVECLOAK라는 심각도가높은 트로이 목마가 발견 되었습니다. 뱅킹 트로이 목마는 주로 온라인 금융 시스템을 표적으로 삼아 정교하게 제작된 소프트웨어 프로그램을 위협하고 있으며, 사용자로부터 민감한 금융 정보를 훔치는 것을 목표로 하고 있습니다. 이러한 트로이 목마는 일반적으로 은밀하게 작동하여 피싱 이메일, 손상된 소프트웨어 또는 악성 웹 사이트와 같은 다양한 벡터를 통해 컴퓨터에 침투합니다.이 트로이 목마가 피해자의 장치에 침투하게 되면 키 입력 정보를 모니터링 및기록하거나 스크린 샷을 캡처하고, 웹 세션을 조작할 수 있는 능력을 가지게 됩니다. 그 결과로 로그인 자격 증명을 가로채어 사용자의 개인 정보나 금융 정보가 유출되어 금융 계좌에 대한 무단 액세스 및 사기 거래가 발생하는 경우로 이어집니다.CHAVECLOAK 공격 흐름도 CHAVECLOAK 공격 흐름CHAVECLOAK 공격 흐름이 공격은 PDF 파일을 포함한 피싱 메일을 통해 전파됩니다. 사용자를 속여PDF 파일인 문서를 열면 내용 안에 전자 서명이 가능한 버튼이 있습니다. 실제로 버튼을 클릭하면 Goo.su URL 단축 서비스를 사용하여 원격 링크에서설치 파일을 검색을 합니다. 설치 파일 내에 존재하는 Lightshot.exe라는 실행 파일은 DLL 사이드 로딩을 활용하여 중요한 정보의 도난을 가능하게 하는CHAVE CLOAK 악성코드인 Lightshot.dll을 로드합니다. 이 악성코드는 시스템 메타데이터를 수집하고 브라질에 있는 손상된 시스템을 확인하기 위해 시스템을 검사합니다. 또한, victim 창을 모니터링하여 은행과 관련된 문자열을비교하고, 일치하면 C2 서버와 연결되어 다양한 종류의 정보를 수집하고 금융기관에 따라 서버의 고유한 해커 서버로 유출합니다. 이를 통해 운영자가 피해자의 화면을 차단하고, 키 입력을 기록하고, 사기성 팝업 창을 표시하도록 허용하는 등 피해자의 자격 증명을 훔치기 위한 다양한 전술을 사용합니다.결론CHAVECLOAK 뱅킹 트로이 목마는 SMS, 이메일 피싱, 손상된 웹사이트를 통해 PDF, ZIP 파일 다운로드, DLL 사이드로딩 및 사기성 팝업을 활용하여 전파되는 심각한 사이버 위협입니다. 이 트로이 목마는 브라질의 금융 시장을 특히 목표로 하며, 개인정보 훔치기, 시스템 정보 스캔, 키스트로크 로깅 등을 통해 사용자의 은행 계정에 심각한 피해를 주고있습니다. 이러한 유사한 뱅킹 트로이 목마로부터 보호하기 위해 주의 깊은 행동 방침을 따르는 것이 중요합니다.뱅킹 트로이 목마에 대한 보안 권장 사항• 사용자는 의심스러운 이메일 또는 신뢰할 수 없는 출처에서 보낸 이메일 내에 링크 클릭이나 첨부 파일을 다운로드 수락 또는 실행해서는 안됩니다.• 웹사이트 URL에 오타나 사소한 변형이 있는지 확인하고, 2단계 인증(2FA)을 활성화 하여 강력한 비밀번호를 사용해야합니다.• 운영체제, 웹 브라우저 및 보안 소프트웨어를 정기적으로 업데이트하여 새롭게 발견되는 악성코드로부터 보호할 수 있습니다.• 바이러스 백신 소프트웨어를 최신 상태로 유지해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 27명 참여