최근 사이버 공격자들은 사용자 경계심을 무너뜨리는 정교한 사회공학 기반 공격 기법을 적극 활용하고 있습니다. 특히 2024년 하반기부터 급격히 확산된 ClickFix 공격이 최근 FileFix 공격으로 진화하여 등장하였고, 실제 악성코드 유포에도 활용되고 있어 주의가 필요합니다. ClickFix 공격에 대한 내용은 지난 포스팅 내용을 참고하시기 바랍니다. 가짜 캡차 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의! FileFix 공격은 윈도우 ‘실행’ 창(윈도우 키 +R)을 실행하여 악성 명령을 붙여 넣는 ClickFix와 달리 사용자에게 익숙한 인터페이스인 윈도우 탐색기(Exploprer) 주소창에서 악성 명령이 실행되도록 유도한다는 점에서 차이가 있습니다. 해당 공격은 보안 연구원 m..

국내외 보안동향 2025. 7. 17. 09:43

구글의 ASP(앱 비밀번호)기능을 악용하여 사용자 이메일 계정에 대한 2단계 인증을 우회하고 지속적인 접근 권한을 확보하는 피싱 공격이 발견되었습니다. ※ ASP(Application Specific Password)란?타사 애플리케이션이 사용자의 Google 계정에 접근할 수 있도록 만들어 주는 앱 전용 비밀번호입니다. 예를 들어 2단계 인증이 설정된 계정에, 인증을 지원하지 않는 일부 오래된 앱이나 프로그램(구 버전 이메일 앱, 프린터, 캘린더 앱 등)들이 로그인을 시도하게 되면 실패하게 되는데, 이런 경우에 ASP를 생성하여 앱 전용으로 로그인이 가능하게 만드는 기능입니다. Google Threat Intelligence Group(GTIG) 보고서에 따르면 공격자는 미국 국무부 관계자를 사칭..

국내외 보안동향 2025. 6. 27. 10:48

BPFDoor은 리눅스 시스템을 공격 타깃으로 하는 백도어(Backdoor) 악성코드로, 2021년 PWC사의 보고서를 통해 최초 발견되었습니다. BPFDoor은 중동 및 아시아 전역의 통신업체, 정부, 교육 등의 분야를 공격 타깃으로 삼고 있으며, 공격 타깃에는 대한민국도 포함되어 있습니다. 최근 한국 인터넷진흥원(KISA)에서는 "최근 해킹공격에 악용된 악성코드·IP 등 위협 정보 공유 및 주의 안내'" 공지를 공개하기도 했습니다. BPFDoor은 root권한으로 BPF 소켓을 생성하여 특정 조건에 맞는 패킷을 감지할 준비를 하며, 조건을 만족하는 패킷(매직 넘버)이 감지되면 패킷을 열어 다음과 같은 공격자의 명령을 실행합니다. Reverse Shell 실행새로운 접속을 특정 포트의 셸로 ..

국내외 보안동향 2025. 4. 29. 15:49

최근 휴대폰 문자 메시지에 ‘카드 발급’ 또는 ‘결제 완료’ 등의 사기성 메시지와 함께 전화번호만 기재하여 수신자의 전화를 유도하는 일명 콜백 스미싱이 증가하고 있어 사용자분들의 주의가 필요합니다. 콜백 스미싱(Callback Smishing) 이란 사용자가 문자 메시지에 적힌 전화번호로 직접 연락하도록 유도하여 개인정보 탈취 및 악성 앱 설치를 통해 피해를 입히는 스미싱 사기 수법입니다. 기존의 피싱 사이트 또는 악성 앱 설치 링크(URL)를 추가하여 보냈던 방식이 탐지 기술 발전과 사용자 보안 인식 향상에 따라 감염률이 낮아지면서 스마트폰 사용이 익숙하지 않은 고령층을 타깃으로 콜백 스미싱의 유포가 증가하고 있는 것으로 추측됩니다. 콜백 스미싱은 다음과 같은 내용으로 유포되고 있습니다. [카드 발급 ..

국내외 보안동향 2025. 4. 11. 17:31

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 사용자가 봇(bot)이 아닌 진짜 사람인지를 판단하기 위한 절차인 캡차 인증 페이지를 조작하여 악성코드 실행을 유도하는 공격이 발견되고 있어 사용자 분들의 주의가 필요합니다.   이번 공격은 사용자를 조작된 캡차 인증 페이지로 유도하는 것으로 시작되는데, 사용자가 불법적으로 공유된 버전의 게임을 다운로드 하기 위해 검색한 링크를 통해 해당 캡차 인증 페이지로 리디렉션 되거나 피싱 메일에 링크를 삽입하여 접속을 유도합니다. 접속된 캡차 인증 페이지에서 사용자가 인증을 위해 [I’m not a robot] 버튼을 클릭하면 일반적인 인증 성공 여부 메시지가 아닌 ‘Verification Steps’ 라는 안내 메시지가 팝업 됩니다. 이와 ..

국내외 보안동향 2024. 9. 24. 14:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 7월 26일,  미국의 연방수사국(FBI), 사이버사령부(CNMF), 사이버인프라보안청(CISA), 국방사이버범죄센터(DC3), 국가안보국(NSA), 한국의 국가정보원(NIS), 경찰청(NPA), 영국의 국가사이버안보센터(NCSC)가 합동 보안권고문을 발표하였습니다.  이번 합동 권고문에서는 북한의 정찰총국 산하의 안다리엘 해킹조직에 대한 내용을 담고 있습니다.  안다리엘(Onyx Sleet, 구 PLUTONIUM, DarkSeoul, Silent Chollima, Stonefly/Clasiopa 등으로 알려져 있음)은 평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가배후 해킹조직으로, 미국과 한국을 겨냥하여 파괴적 공격에서..

국내외 보안동향 2024. 7. 26. 10:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  윈도우 검색 프로토콜을 악용하여 악성코드의 실행을 유도하는 공격기법이 발견되어 사용자 분들의 주의가 필요합니다. 윈도우 검색 프로토콜은 응용프로그램이 윈도우 탐색기를 열고 특정 매개변수를 사용하여 검색을 수행할 수 있도록 하는 URI (Uniform Resource Identifier) 입니다. 대부분의 윈도우 검색은 로컬PC의 인덱스를 검색하지만, 원격서버에 공유된 파일에 대한 검색 쿼리(요청)를 허용하여 로컬PC가 아닌 원격서버에서 검색작업을 수행하도록 설정할 수도 있습니다. 공격자는 이 기능을 악용하여 공격자의 원격서버에 악성파일을 공유하고 사용자로부터 윈도우 검색 프로토콜을 허용하게 만든 뒤 악성파일을 실행하도록 유도하는 공격을 ..

국내외 보안동향 2024. 7. 17. 14:34

GitLab이 GitLab CE(Community Edition)와 EE(Enterprise Edition) 버전에서 발견된 파이프라인 작업 실행과 관련된 심각한 취약점을 패치 했습니다. 공격자가 해당 취약점을 악용하면 특정 상황에서 임의의 사용자로 파이프라인 작업을 실행할 수 있게 됩니다. 아직 상세한 기술 내용이 공개되진 않았으나, CVSS 기준 9.5점을 받았을 정도로 매우 위험한 수준의 취약점인 만큼 빠른 패치를 권고 드립니다.  CVE번호 CVE-2024-6385  취약한 버전 GitLab CE/EE  15.8~16.11.6 미만 버전GitLab CE/EE  17.0~17.0.4  미만 버전GitLab CE/EE  17.1~17.1.2  미만 버전  패치 버전 GitLab CE/EE  16.11..

국내외 보안동향 2024. 7. 15. 10:32