잉카인터넷 시큐리티대응센터 블로그

사이버 범죄 집단 FIN7이 Windows 침투 테스트 툴을 위장하여 Lizar 백도어 악성코드를 배포한 것으로 알려졌다. BI.ZONE 사이버 위협 연구팀에 따르면, Lizar는 로더 및 다양한 플러그인으로 구성되어 있으며, 감염된 시스템에서 함께 실행되고, 봇 클라이언트로 결합하여 원격 서버와 통신한다. Lizar의 플러그인은 Mimikatz 및 Carbanak과 같은 다른 악성코드를 로드하고, 피해자 정보를 검색하며, 스크린샷을 찍고, 자격 증명을 수집하는 등의 악성행위를 수행한다. 닷넷 프레임워크로 작성된 Lizar 서버 애플리케이션은 원격 리눅스 호스트에서 실행되며, 봇 클라이언트와의 암호화된 통신을 지원한다. [사진 출처 : https://bi-zone.medium.com/from-pentes..

파일을 암호화하고, 데이터를 탈취하여 이중으로 랜섬머니를 갈취하는 "Lorenz" 랜섬웨어 그룹이 새롭게 등장했다. ID Ransomware의 연구원은 "Lorenz" 랜섬웨어의 암호화 동작이 이전에 등장했던 "ThunderCrypt"” 랜섬웨어와 유사하지만 두 랜섬웨어가 동일한 그룹인지 혹은 랜섬웨어의 소스 코드를 구입 했는지는 확실하지 않다고 밝혔다. 해당 랜섬웨어의 데이터 유출 사이트에는 현재 12개의 피해 기업이 나열되어 있으며 10개의 기업에 대한 데이터가 공개된 것으로 알려졌다. 출처 [1] Bleeping Computer (2021.05.17) – Meet Lorenz – A new ransomware gang targeting the enterprise https://www.bleeping..

미 당국에 의해 DarkSide 랜섬웨어 조직의 운영이 중단됐다. 지난 주말, REvil 랜섬웨어 측에서 해킹 포럼을 통해 DarkSide 랜섬웨어 측의 운영 중단을 알렸다. 해당 내용은 미 당국에서 랜섬웨어와 관련된 내용을 발표한 다음날 게시됐으며, 미 당국에 의해 DarkSide 랜섬웨어 조직이 운영하는 데이터 유출 사이트, 결제 서버 및 CDN 서버가 모두 압수 당했다고 한다. REvil 측은 이번 사건으로 인해 사회 부문(의료, 교육기관)과 모든 국가의 정보를 공격하지 말아야 한다고 언급했다. 사진 출처 : https://twitter.com/BleepinComputer/status/1393217115700830208/photo/1 출처 [1] BleepingComputer (2021.05.17)..