잉카인터넷 시큐리티대응센터 블로그

유명 해커 포럼들이 최근 랜섬웨어의 광고를 금지하였다. 해커포럼 XSS 가 랜섬웨어 광고를 금지하겠다고 발표했다. 이번 조치는 DarkSide로 알려진 랜섬웨어 조직이 Colonial Pipeline의 네트워크를 암호화 한 사건 이후, 법 집행 기관의 관심을 회피하기 위한 시도인 것으로 알려졌다. XSS 포럼의 발표 하루 뒤, 또 다른 해커 포럼인 Exploit 관리자는 "포럼에 RaaS 프로그램이 존재하는것이 적절하지 않다. 모든 제휴프로그램을 제거하고 랜섬웨어 광고를 금지하기로 결정했다."고 알렸다. 사진 출처 : 해커 포럼 XSS 출처 [1] Security Affairs (2021.05.18) - Major hacking forums XSS and Exploit ban ads from ransom..

"RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다. 최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다. RoyalRoad "RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 ..

최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하..

최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다. 해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다. 가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외..

2018년 12월 말 처음 발견된 “LemonDuck”은 Linux 시스템을 대상으로 하여 Linux 루트 계정 비밀번호를 무차별 대입 공격을 통해 SSH 원격 접속을 하거나 Windows 시스템 대상으로 악성 문서 파일이 첨부된 메일을 통해 유포되었다. 하지만 2021년 3월경, “LemonDuck”이 공격 대상에 MS Exchange Server를 추가하였고, 해당 서버의 취약점을 악용하여 유포되기 시작했다. 해당 악성코드는 공격자의 서버에서 페이로드를 다운로드한 후 백신 프로그램으로 위장한 서비스를 생성해 코인 마이너를 등록하고, 공격에 사용된 웹 쉘을 사용자의 폴더에 숨긴다. 또한, 사용자의 PC에 관리자 권한이 있는 계정을 생성하여 RDP(원격 데스크톱) 연결을 활성화하고, 최종적으로 감염된 P..