한국남부발전에서 5월 24일부터 2주간 진행한 "한국남부발전 유투브 채널-유튜브 구독 좋아요 이벤트" 행사 진행 후 당첨자 안내에서 고객 개인정보가 유출되는 사고가 발생했다. 해당 이벤트 행사가 모두 종료된 후 9일간 홈페이지에 공지한 당첨자 알림 게시글 첨부파일에 당첨자의 개인정보가 그대로 노출된 사건이다. 한국남부발전 측은 이 실수에 대해 공지 안내 종료 후 2개월 후인 8월 23일에 인지했으며, 홈페이지에 사과문을 올린 것은 그로부터 3일이 지난 26일에 이뤄졌다. 한국남부발전은 홈페이지에 당첨자 이름, 이메일 주소, 개인 연락처 등 개인정보가 그대로 노출되어 이를 악용해 피싱 메일/스팸 문제 등의 추가 피해가 우려되니 주의하라고 당부했다. 해당 기사 링크 >> https://www.boannews..

메타버스의 다크웹 버전이라고 불리는 "다크버스"가 사이버공간을 해치는 무법천지로 활성화 되고 있다. 다크버스가 메타버스 내부에 존재한다는 점을 제외하면 다크 웹과 비슷하며, 어떤 면에서는 다크 웹보다 위험하다고 볼 수 있다. 사용자가 가상세계와 물리적 실체가 연동되는 사이버-물리적 존재이기 때문이다. [다크버스의 다섯가지 위협 시나리오] 1. 불법 또는 범죄 활동을 조장·수행 위해 만들어졌으나, 해당 공간이 억압적인 단체나 정부에 의한 언론의 자유를 위해 사용될 수 있음. 2. 메타버스의 지하 시장을 위한 공간이 될 수 있다. (불법 범죄 활동에 사용) 법 집행기관에서는 이러한 공간을 사전에 알고 있더라도, 액세스 인증 토큰 없이는 침투가 불가능. 다크버스 내 사용자 공간은 눈에 잘 띄면서도 법의 통제를..

미국 사이버 보안 전담 기구 CLSA 曰 팔로알토 네트윅스(Palo Alto Networks)의 방화벽 제품에서 발견된 고위험군 취약점이 활발하게 익스플로잇... (CVE-2022-0028) 팔로알토 측에서는 해당 취약점에 대한 패치와 보안 경고문을 이미 발표한 상태이다. 해당 취약점을 통해 DDoS 공격 시도 시 공격의 근원지가 팔로알토의 PA 시리즈, VM 시리즈, CN 시리즈 방화벽인 것처럼 보이게 할 수 있다. 다만, 익스플로잇에 성공했다고 해서 내부 네트워크에 접속할 수 있는 것은 아님. 사업 행위가 중단될 뿐... ※ PA 시리즈: 하드웨어 / CN 시리즈: 컨테이너 취약점이 발생한 이유는 URL 필터링 관련 정책이 잘못 설정되어있기 때문이다. → 표준이 아닌 설정이 적용된 인스턴스들은 위험할..

최근 워드프레스 사이트들을 타겟으로 한 자바스크립트 인젝션 공격이 증가하고 있는 추세. 사이트 방문자들이 정말 사람인지 디도스 봇인지 확인한다며 알림창을 띄워.. 자바 스크립트가 인젝션되는 것이다. 특히나 해당 행위는 클라우드플레어의 디도스 방어 팝업 알림을 흉내낸 것으로 보인다. - 이에 속아 클릭한 사용자는 악성.iso 파일이 다운로드된다. - 이후 파일을 열어야 인증 코드를 받을 수 있다는 메시지 출력 - 그러나 해당 파일의 정체는 원격 접근 트로이목마 보안 업체 수쿠리(Sucuri)는 해당 멀웨어를 넷서포트랫(NetSupport RAT) 이라 명명하였다. 사이버 공격자는 정상 앱, 사이트, 도구를 흉내내서 그들의 악의적인 목적을 달성하려 함. 추가적으로 사람과 봇을 구분하는.. 캡차와 같은 도구를..

반도체, 리조트, 건설, 소프트웨어 등 20여곳 침해사고 발생. 안랩의 ASEC 분석 팀은 해당 사고가 IIS 웹서버나 MS Exchange 서버 침해 사고로, 기존 알려진 유형과 비슷하지만.. 개인이 아닌 특정 해커그룹이라 추측해했다. [해당 해커그룹의 특징] - FRP 오픈소스 도구 사옹 - 외부에서 접근 가능한 서버를 탐색 후 공격 - 침투 후 권한상승 시도 더욱 완벽한 접근제어를 위해 주로 FRP(Fast Reverse Proxy) 도구 사용하였음. FRP 설치 시 특정 다운로드 주소를 사용하는데, FRP가 업로드된 다운로드 서버는 국내 기업의 웹 서버였다. 공격자가 이미 장악한 상태. 다음과 같은 점에서 위험성이 크다. - RFP 설치 시 특정 파일명 사용 - 또 다른 국내 기업의 서버를 장악하..

최근 깃허브(Github)에서 솔루션 파일(.sln)로 위장한 RAT 툴이 유포 중인 것이 확인되었다. 안랩의 ASEC에 따르면 유포자가 "Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022"라는 제목으로 위장하여 툴을 유포하고 있다고 밝혔다. 위장된 파일의 구성이 정상적인 것처럼 보이나, 솔루션파일만이 RAT 툴이다. 사용자가 솔루션파일을 실행하는 것을 유도하는 것. [악성코드 파일 분석] - 파일유형은 화면보호기(screen Saver)로, Windows 환경에서 화면보호기 파일은 실행이 가능한 확장자이기에 실행 시 악성코드에 감염됨. - 파일 진단을 우회하기 위해 파일 외형을 변경시키는 crypter tool을 사용 - 파일 실행 시 합법..

최근 안랩에서 윈도우 정품 인증 툴로 위장한 BitRat과 XMRig 코인 마이너가 유포되고 있다고 밝혔다. 이전에도 웹하드 통해 유포된 적 있으나, 이번에 달라진 점은 백신 설치 유무에 따라 설치되는 방식이 달라졌다는 것. - V3가 설치되지 않은 환경에서는 BitRat 원격제어 툴이 설치. - V3가 설치된 환경에서는 코인 마이너를 설치 현재 미디어파이어(MidiaFire)라는 파일 호스팅 사이트에 KMS tools로 위장한 압축파일 형태로 업로드되어있다. 게다가.. 해당 링크가 국내 여러 커뮤니티 사이트에 공유되었기에 감염자가 속출할 것으로 보임. [악성코드 간단 분석] - 압축 해제 시 exe 확장자를 가진 실행 압축 파일(7z SFX) - 실행하는 것만으로 공격자가 원하는 경로 내에 실행압축 파..

이스트시큐리티는 사이버 안보사건을 조사하는 현직 경찰관 신분을 도용한 해킹 공격 시도가 발견되었다고 발표했다. 현직 경찰 공무원의 얼굴과 실명을 가져다, 실제 공무원증인 것처럼 꾸민 PDF 파일을 이용했다. 메일에 첨부한 악성 exe 파일 내부에 해당 PDF 파일을 은닉시켰다가, 사용자가 이를 실행하면 PDF를 화면에 띄움과 동시에 악성코드를 퍼뜨리는 방식으로 작동한다. 이스트시큐리티 시큐리티대응센터는 이 공격을 분석한 결과 북한 해커의 소행이라고 결론 내렸다. 공격에 사용된 웹 서버 명령어가 이전에 북한 해커의 공격으로 보고되었던 공격의 패턴과 일치하기 때문이다. '유엔인권사무소'를 사칭한 DOCX 악성 문서의 매크로 실행 유도 디자인과 북한 배후의 해킹 공격으로 분류된 '통일부 정착 지원' 사칭 공격..