샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서 - 한국인터넷진흥원(KISA) 보고서 출처 : KISA 인터넷보호나라, https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71066 KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 목차 1. 개요 - 올해 1월 샤오치잉 해커조직이 대한민국을 겨냥하는 메시지와 함께 해킹 예고를 했는데, 침해사고 공격 기법에 대한 소개와 대응 방안에 대한 안내 2. 타임라인 2023년 1월 7일 A社 내부자료를 샤오치잉 Github Pages에 공개(..
기사 요약 :올해 상반기 일론 머스크의 스타링크라는 스페이스X가 운영하는 위성 인터넷 사업이 국내에 출시를 앞두고 있는 가운데 과학기술정보통신부에서는 B2C보다는 선박, 항공과 같은 특수목적에 이용되어 경쟁력을 제한적으로 보고 있다고 했다. * B2C : 기업소비자간 거래, B2B : 기업간거래 - 스타링크 : 2020년 서비스를 시작했으며, 현재는 4000여개의 위성을 기반으로 전세계 50여 개국의 인터넷을 제공하고 있음. 2030년에 4만개 이상의 위성을 배치한다는 목표가 있음. 기존의 위성 통신망과 수중 광케이블의 단점을 개선하고 유선 인터넷과 무선 통신망의 한계를 극복한 위상 기반의 인터넷 사업.김수민 기자, 과기정통부가 바라보는 스타링크 한국 상륙 '초읽기', 블로터, https://n.news..
기사 요약 :구글 클라우드 플랫폼(GCP)에서 발견된 고스트토큰(GhostToken)이라는 취약점은 서드파티앱의 토큰을 악용하여 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있으며 해당 애플리케이션은 완전 삭제되지 않고 피해자가 보이지 않게 '삭제 중'으로 남아있어 추후에 다시 악용이 가능하고 발견이 쉽지 않다고 한다. [ 공격 원리 ] - GCP라는 공간에 앱 스토어가 존재하는데 그중에서 비공식 서드파티 앱 스토어들을 이용할 경우 앱을 다운로드하면 토큰(Token)이 부여되고 해당 토큰을 이용해 사용자의 구글 계정에 접근 가능 - 고스트토큰 취약점을 이용하여 앱을 앱 스토어에 심어 넣을 경우 멀웨어가 구글 계정에 접근할 수 있는데 관리 페이지에는 공격자의 앱이 표시되지 않도록 해 탐지되기 어렵게 ..
기사 요약 :맥아피가 발견한 골도슨(Godoson)이라는 데이터 탈취와 클릭 사기 기능의 멀웨어가 서드파티 라이브러리를 통해서 60개 이상의 모바일 앱을 감염시켰으며 구글 플레이 스토어에서 1억 회 이상, 원스토어에서 800만 회 이상 다운로드되었다. 한국에서 사용되는 L.Point, L.Pay, 등이 포함되어 있어서 앱 사용자들은 빠른 업데이트다 필요해 보인다. - 감염된 앱 : 1) L.POINT 2) L.PAY 3) Swipe Brick Breaker 4) Money Manager Expense & Budget 5) Lotte Cinema 6) Live Score 7) GOM - 골도슨의 작동 방식 : 골도슨 라이브러리는 장비를 감염. 곧바로 공격자들의 C&C 서버에 등록. 원격에 저장된 설정 파일..
SnortSnort는 프로토콜 분석, 콘텐츠 검색, 웜, 취약점 공격, 포트 스캔, 버퍼 오버플로우 등 다양한 공격을 탐지하는 OpenSource IDSSnort의 구조 Snort는 네 가지 요소로 구성이 되어 있다. Sniffer → Preprocessor → Detection Engine → Alert/Logging 1. Sniffer 네트워크를 도청하는데 쓰이는 하드웨어 또는 소프트웨어 장치 애플리케이션 또는 하드웨어 장치에서 해당 네트워크의 트래픽을 도청할 수 있다. [ 용도 ] - 네트워크 분석과 문제를 해결. - 성능 분석과 벤치마킹 평문 비밀번호가 기타 데이터를 도청 2. Preprocessor 패킷 Sniffer로부터 전달받은 패킷을 특정한 플러그인으로 전달하여 패킷에서 특정한 종류의 행위..
기사 요약 :금융보안인증 소프트웨어 취약점으로 국내 PC를 해킹한 사건의 배후가 북한의 해킹그룹인 라자루스라고 한다. 해당 해킹 방식은 2021년 4월 금융보안인증 업체를 해킹해 취약점을 발견하고 장기간 공격에 이용할 웹 서버, 경유지를 찾은 다음 대다수가 이용하는 언론사 사이트를 악성코드 유포 사이트로 이용이 하였다고 한다. 해킹된 기관은 61개가 된다고 한다. - 해킹 공격 : 워터링홀 수법 >> 특정 언론사 사이트 접속 시 자동으로 악성코드가 설치조재학 기자, 금융보안인증 SW 취약점 공격···北 해커그룹 소행이었다, 전자신문, https://m.etnews.com/20230418000138 금융보안인증 SW 취약점 공격···北 해커그룹 소행이었다금융보안인증 소프트웨어(SW) 취약점을 악용해 국내 ..
기사 요약 : 과거의 피싱 공격의 경우 사이트 주소를 유사하게 바꾸는 눈속임 공격이었다면 최신 공격은 BitB(Browser in the Browser) 기술을 이용하여 실제 사이트 주소가 표시되기 때문에 화면만으로 피싱 페이지를 알 수 없도록 고도화되었다고 한다. - 과거 : (실제) google.com → (피싱) g00gle.com - 피싱 사이트 : 1) 정교하게 제작된 CSS 코드 2) 요즘 접속할 때 주소를 확인하는 교육 → 공격자가 주소 표시줄을 조작하는 기법 개발 3) 가짜 팝업창을 만들기 때문에 정상 팝업창과 달리 브라우저 밖으로 이동되지 않음.김경애 기자, 북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용, 보안뉴스, https://m.boannews.com..
기사 요약 :뱅킹형 악성코드인 칵봇(Qakbot)이 정상 메일을 가로챈 후에 기존 이메일을 회신 및 전달하는 방식으로 악성 PDF 파일을 첨부해서 유포가 진행되고 있다. [ 악성코드 정보 ] 악성코드 정보 : 원문에 대해 점부파일과 함께 전달되어 첨부파일 열람을 유도. - 원본 이메일 오간 시점 : 2018년~2022년. 최근 시점은 아님. - 첨부파일 명 : UT.PDF, RA.PDF, NM.PDF 등과 같은 랜덤문자 형태 - 동작 방식 : 1) 해당 PDF 파일을 실행하면 Microsoft Azure 로고와 함께 OPEN 버튼을 클릭 유도 2) Open 버튼 클릭하면 악성 URL 연결, 암호화된 압축 ZIP 파일 다운 3) 파일 비밀번호 : 본문에 기재된 Password : 755 4) 압축을 해제하..
