본문 바로가기

전체 글87

북한 APT37(ScarCruft)의 안드로이드 스파이웨어 배포 최근 보안 업체 룩아웃(Lookout)에 따르면, 북한과 연계된 해킹 그룹 APT37(ScarCruft)이 KoSpy라는 안드로이드용 스파이웨어를 구글 플레이를 통해 유포한 정황이 포착되었습니다. 이 그룹은 2012년경부터 활동을 시작했으며, 한국을 비롯해 중국, 인도, 일본, 쿠웨이트, 네팔, 루마니아, 러시아, 베트남 등 여러 국가를 대상으로 공격해온 것으로 알려져 있습니다.1. 스파이웨어 KoSpy의 특징배포 시점KoSpy는 2022년 3월부터 활동이 포착되었으며, 한국어/영어 사용자를 집중적으로 노린 것으로 보입니다.위장 앱 종류KoSpy는 휴대전화 또는 파일 관리 앱, 스마트 매니저, 소프트웨어 업데이트 유틸리티, 가짜 보안 앱 등 총 다섯 가지 앱으로 위장해 사용자를 속였습니다.구글 플레이 및.. 2025. 3. 18.
2024년 랜섬웨어 동향 분석: 몸값 총액 감소와 변화하는 공격 양상 2024년 랜섬웨어 공격으로 인한 총 몸값(extortion) 금액이 8억 1,350만 달러로 집계되며, 2023년 12억 5,000만 달러에서 큰 폭으로 감소한 것으로 나타났습니다. 이는 블록체인 분석 기업 Chainalysis의 보고서를 기반으로 한 분석 결과이며, 랜섬웨어 공격이 여전히 증가하는 가운데도 피해자들의 지불 비율이 감소하는 경향을 보이고 있습니다.2024년 랜섬웨어 주요 통계총 몸값: 2024년 8억 1,350만 달러 (2023년 대비 감소)2024년 상반기 몸값: 4억 5,980만 달러2024년 랜섬웨어 공격 건수: 5,263건 (전년 대비 15% 증가)가장 많이 공격받은 산업군: 산업(Industrials) – 전체 공격의 27% 차지가장 많이 공격받은 지역: 북미 (전체의 55%).. 2025. 2. 17.
VeraCore 제로데이 취약점 악용한 공급망 공격 사례 최근 보안 연구원들이 창고 관리 소프트웨어(WMS) 플랫폼인 VeraCore에서 두 개의 제로데이(Zero-day) 취약점이 악용된 공격 사례를 발견하였습니다. 해당 취약점은 사이버 범죄 조직 XE Group에 의해 이용되었으며, 이들은 제조 및 유통 산업의 공급망을 표적으로 삼고 있습니다.발견된 취약점과 공격 개요XE Group은 2013년부터 활동해온 사이버 범죄 조직으로, 기존에는 신용카드 스키밍 및 패스워드 탈취형 악성코드를 활용한 공격을 수행해 왔습니다. 그러나 이번 사례에서는 VeraCore의 제로데이 취약점을 이용하여 장기간에 걸쳐 공급망을 침해한 것으로 확인되었습니다.발견된 주요 취약점은 다음과 같습니다.CVE-2024-57968: 파일 업로드 검증 미흡으로 인해 원격 코드 실행이 가능한 .. 2025. 2. 17.
FireScam Malware: A New Threat to Android Device Security FireScam Malware: A New Threat to Android Device Security최근 안드로이드 기기를 노리는 정보탈취형 악성코드인 FireScam이 발견되었습니다. 이 악성코드는 Telegram Premium 앱으로 위장하여 GitHub.io 피싱 사이트를 통해 배포되었으며, 러시아에서 널리 사용되는 앱스토어인 RuStore를 모방한 것으로 확인되었습니다. Cyfirma 연구진은 12월 30일 이 악성코드가 Firebase Realtime Database 엔드포인트로 민감한 데이터를 유출한다고 밝혔습니다.FireScam의 주요 특징과 작동 방식FireScam은 사용자 기기의 화면 상태 변경, 전자상거래 활동, 클립보드 내용, 사용자 활동 등을 모니터링하여 민감한 정보를 은밀히 수집.. 2025. 1. 13.
BeyondTrust 인스턴스 8,600개 여전히 노출: 공급망 공격의 여파와 보안 조치 필요성 지난해 말 발생한 BeyondTrust를 대상으로 한 공급망 공격의 여파가 여전히 지속되고 있습니다. 최근 Censys가 발표한 보고서에 따르면, BeyondTrust의 Privileged Remote Access 및 Remote Support 제품 8,600개 이상의 인스턴스가 여전히 노출되어 있는 것으로 드러났습니다. 이는 국내에도 영향을 미칠 수 있는 문제로, 각별한 관심과 대비가 필요합니다.BeyondTrust 공격 사건 개요지난 12월, BeyondTrust는 일부 고객을 대상으로 한 공격 사건을 공개했습니다. 공격자는 손상된 API 키를 활용하여 Remote Support SaaS 인스턴스에 접근한 것으로 확인되었습니다. 이후 BeyondTrust는 CVE-2024-12356(명령어 삽입 취약.. 2025. 1. 6.
NSA와 CISA, 네트워크 보안의 10대 실수 공유: 방어자들을 위한 권고사항 미국 국가안보국(NSA)과 사이버보안 및 인프라 보안국(CISA)은 최근 공동 사이버 보안 권고(CSA)를 발표하여, 대규모 조직에서 가장 흔히 발생하는 사이버 보안 구성 오류를 강조하고 있습니다.이 보고서는 공격자들이 이러한 잘못된 구성을 악용하는 방식과 관련된 전술, 기술, 절차(TTP)에 대해 자세히 설명하고 있습니다.사이버 보안 실수, 기업의 방어력을 위협하다NSA와 CISA의 레드팀과 블루팀 평가, 그리고 헌트 및 사고 대응 팀의 활동을 통해 이들 기관은 네트워크 방어자들이 가장 자주 겪는 10대 구성 오류를 추출했습니다. 주요 문제는 다음과 같습니다:기본 자격 증명 제거와 강화된 구성기본 자격 증명(예: 관리자 계정)을 제거하고 시스템 구성을 강화하는 것이 필수적입니다.사용하지 않는 서비스 비.. 2025. 1. 3.
과학기술통신부(KISA)의 2024년 위협 실태와 2025년 전망 리포트 2024년은 사이버 보안의 중요성이 더욱 부각된 한 해였습니다. 다양한 사이버 위협 사례를 분석한 결과, 국내외에서 발생한 주요 사건과 동향은 우리의 보안 체계를 재점검할 필요성을 강조하고 있습니다. 또한, 2025년을 대비하기 위한 새로운 위협 요소들이 나타나고 있어, 이에 대한 사전 대응 전략이 필수적입니다.2024년 사이버 위협 사례 분석사이버 사기로 인한 피해 지속불법 스팸, 스미싱(Smishing), 큐싱(Qshing) 등 사회적 이슈를 악용한 사이버 사기가 증가했습니다.금융 피해는 물론, 국민 불편이 지속되고 있으며, 기업 문자발송 시스템 해킹 등의 사례도 보고되었습니다.SW 공급망 공격의 고도화SW 공급망을 타겟으로 한 공격이 증가하며, 악성코드를 삽입한 복합적 공격 전술이 활용되고 있습니다.. 2024. 12. 30.
GitHub 리포지토리를 악용한 대규모 WordPress 자격 증명 유출 사건: 공급망 보안의 허점과 교훈 최근 1년간 진행된 공급망 공격으로 인해 39만 개 이상의 WordPress 자격 증명이 손상되었습니다.SC World이 공격은 주로 가짜 개념 증명(Proof of Concept, PoC) 익스플로잇을 활용한 피싱 캠페인을 통해 수천 명의 학계 연구자와 보안 전문가를 표적으로 삼았습니다. 공격 개요이 공격은 'MUT-1224'로 명명되었으며, 이는 '신비로운 출처 불명의 위협(Mysterious Unattributed Threat)'의 약자입니다. 전 세계 8억 개 이상의 WordPress 사이트 중 일부에 해당하지만, 침투 테스터와 위협 연구원 등 보안 전문가뿐만 아니라 불법적으로 자격 증명을 취득한 위협 행위자들도 표적으로 삼았다는 점에서 주목할 만합니다.공격 방법Datadog Security La.. 2024. 12. 20.
11월 Redpen News 안녕하십니까?레드펜소프트 11월 뉴스레터입니다.Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends보안뉴스                                 ‘북의 해킹 창구로 활용되는 ‘MagicLine4NX’ 취약점  北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중!국정원이 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자www.boannews.com▷ 국내 보안 인증 소프트웨어의 취약점을 악용한 해킹 공격이 여전히 지속.. 2024. 11. 20.