보안 위협 동향

스팸 메일로 전파되는 피싱 악성코드 동향

안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다. 본 내용에서는 보안 제품 레벨에서 차단이 필요한 두번째 유형에 대해 피해 현황 및 피싱형 악성코드 특징에 관해 설명한다. 메일 본문에 포함된 피싱 사이트 주소에 접속했을 때, 또는 첨부된 HTML 파일을…

마이킹즈(MyKings) 봇넷 동향

마이킹즈 봇넷은 다크클라우드(DarkCloud), 히든(Hidden), 스모민루(Smominru) 등으로도 불리는 봇넷으로, 2014년 8월 관련 악성코드가 처음 발견되었다. 국내에서는 2015년 5월 처음 확인됐다. 이후 꾸준히, 그러나 조용하게 활동해온 이 봇넷은 2018년 중반 이후 활발한 움직임을 보였다. 안랩에서도 2016년 11월 국내 기업의 디지털 인증서로 서명된 악성코드를 분석하던 중 마이킹즈 봇넷과 연관된 정황을 확인한 바 있다. 이후 2018년 중반부터 국내 대학, 협회, 방송, 제조, 금속, 솔루션 서비스, 웹호스팅 등 다양한 산업 분야에서 채굴 악성코드(Coin Miner, 코인마이너) 재감염, 백신 프로그램 장애, 부트킷 악성코드 등 다른 듯 유사한 사례가 지속적으로 확인됐다. 별개로 보이는 이들 사례를 안랩이 분석한 결과, 모두 동일한 그룹의 소행으로 결론 내렸다. 마이킹즈 봇넷에 대한 요약 글과 전체 PDF 파일은 다음 주소에서 확인 할 수 있다. . 서버 노리는 마이킹즈(MyKings) 봇넷의 실체 (https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29020) . PDF 파일 다운로드 (http://download.ahnlab.com/kr/site/library/[AhnLab]Analysis%20Report_MyKings%20Botnet.pdf)

2019년 상반기 랜섬웨어 동향

2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. [그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대…

2019년 1분기 랜섬웨어 동향

2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트 건수는 26건에 지나지 않았다. Nabucur 는 33만6천건의 샘플건수를 갖고 있으나, 감염 리포트 건수는 불과 23건 이였다.   [ 그림1] 2018.01 ~ 2019.03 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 1분기 감염 리포트 증가 원인은 GandCrab 과 Wannacry 가 2월과 3월에 폭발적으로 증가 했기 때문이다. – 하단의 [그림2], [그림3] GandCrab 과 Wannacry 샘플 및 감염 추세 그래프 참고 – GandCrab 샘플 건수를 먼저 알아보면 직전 분기 2만2천건에서 11만1천건으로 무려 399.4% 증가…

한국과 일본의 기관과 기업을 노리는 틱(Tick) 그룹 동향

틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드 나이트(RedBaldKnight) 등으로도 불리는 공격 그룹으로, 지난 2014년부터 본격적인 활동이 포착되었다.  이 그룹이 처음 알려진 것은 2013년 어도비 플래시 플레이어 제로데이 취약점인 CVE-2013-0633과 CVE-2013-0634를 이용한 레이디보일(Ladyboyle) 이다.   2016년 4월 시만텍(Symantect)이 처음으로 이 그룹을 ‘틱(Tick)’으로 명명 했으며, 같은 해 11월 일본의 보안 업체인 LAC 에서 이 그룹의 일본 활동을 공개했다.  2017년 6월에는 시큐어웍스(SecureWorks)에서 브론즈 버틀러(Bronze Butler) 라는 이름으로 이 그룹의 활동을 공개하고, 같은 해 7월 팔로알토 와 11월 트렌드마이크로 에서 추가 정보를 공개했다. 2018년 6월 팔로알토 유닛42는 이 그룹이 한국의 보안 USB에 대한 공격도 시도했다고 밝혔다.   2014년 이후에는 주로 한국과 일본 기관 및 기업에 대한 공격을 시도하고 있다. 다만 이 보다 앞선 2008년 국내에서 해당 그룹과 관련된 악성코드가 발견된 바 있어 이 그룹의 국내 공격은 상당히 오랫동안 지속되었을 가능성이 있다.  이 그룹은 한국과 일본의 IT 환경을 연구해 공격을 전개하고 있다. 일본에서 주로 사용되는 제품의 취약점을 이용해 악성코드를 감염시켰으며, 한국에서는 취약점 공격 외에도 국산 백신이나 보안 USB 제품을 공격하는 등 다양한 공격을 시도하고 있다.   이 그룹이 일본에서 전개한 공격에 대해서는 잘 알려져 있으나 상대적으로 한국에서의 활동에 대해서는 알려진 것이 적다.    관련 내용은 다음 주소에서 확인 할 수 있다.   – 한일 양국에서 전개되는 타깃 공격의 실체 https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28186   – Tick Group 공격 동향 보고서 전문 (PDF) http://download.ahnlab.com/kr/site/library/[Analysis_Report]Tick__Threat_Group.pdf