잉카인터넷 시큐리티대응센터 블로그

애플리케이션을 빌드하기 위한 프로그램인 "MSBuild"의 기능을 악용하여 악성코드를 유포한 사례가 발견되었다. "MSBuild" (Microsoft Build Engine)는 애플리케이션을 빌드하기 위해 마이크로소프트에서 제공하는 개발도구이며, 일반적으로 Visual Studio에서 애플리케이션을 빌드할 때 사용한다. 또한 Visual Studio가 설치되지 않은 환경에서도 빌드 할 수 있도록 기능을 제공하는데, 최근 발견된 사례의 경우 "MSBuild"의 기능을 악용해 악성코드를 실행하고 추가 악성행위를 수행한다. 악성 프로젝트 파일 "MSBuild"는 빌드 시 프로젝트 파일(.proj)을 읽어 빌드를 수행하는데, 프로젝트 파일에는 데이터베이스 설정, 다른 프로젝트 정보 가져오기 및 수행할 작업 지정..

최근 웜 기능을 추가한 “MountLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 액티브 디렉터리를 사용하는 기업 네트워크 환경을 대상으로 공격하며, 웜 기능을 사용하기 위해 “/NETWORK”라는 인자를 사용한다. “MountLocker” 랜섬웨어는 2020년 7월에 등장했으며 주로 기업을 대상으로 공격한다. 이들은 서비스형 랜섬웨어(Ransomware as a Service, RaaS)라는 비즈니스 모델을 사용해 운영 중이며, 지난 3월에는 “MountLocker” 랜섬웨어의 커스텀(Custom) 버전을 사용하는 “AstroLocker” 랜섬웨어 조직이 등장했다. 당시에는 “MountLocker” 랜섬웨어 조직이 “AstroLocker”로 이름을 변경해 활동하는 것으로 알려졌다. 하지만, 현재 “..