잉카인터넷 시큐리티대응센터 블로그

Microsoft Threat Intelligence Center는 미국 국제 개발처(USAID)의 마케팅 계정을 사칭한 피싱 메일을 발견하였다. 발견된 피싱 메일 캠페인은 러시아 기반의 Nobelium(APT29) 해킹 그룹의 공격으로, 합법적인 메일 서비스인 'Constant Contact'를 활용하여 유포되었다. 해당 캠페인에서는 정부 기관 및 조직을 포함한 150개 이상 그룹의 약 3000개의 메일 계정을 대상으로 피싱 메일이 전송되었으며, 'EnvySout'와 'Boombox' 등 4개의 새로운 악성코드가 등장하였다. 사진 출처: Microsoft Security Intelligence Center 출처 [1] Mircosoft (2021.05.31) – New sophisticated emai..

'TeaBot' 또는 'Anatsa' 로 알려진 안드로이드 악성코드가 발견되었다. 해당 악성코드는 'TeaTV', 'VLC MediaPlayer', 'DHL', 'UPS' 와 같은 유명 택배 회사나 스트리밍 서비스 애플리케이션으로 위장하여 다양한 정보를 탈취하기 때문에 주의가 필요하다. 출처 : https://www.cleafy.com/documents/teabot Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자에게 접근성 서비스를 활성화 해야한다는 알람을 지속적으로 발생시켜 사용자로 하여금 접근성 서비스를 활성화 하도록 유도한다. 그 후, 해당 단말기의 정보를 확인하여, 각각의 단말기 별로 오버레이 공격을 수행한다. 오버레이 공격 기법은 ..

지난 2월경, AutoHotKey(AHK) 스크립트 언어를 기반으로 만든 실행 파일을 통해 악성코드를 유포시키는 캠페인이 등장했으며 현재까지 더욱 정교한 공격을 위해 패치를 거듭하고 있다. AutoHotKey 스크립트는 매크로를 정의하여 사용할 수 있도록 해 주는 유틸리티로 해당 캠페인에서 vbs 파일을 삽입해 페이로드를 드랍하고, 실행한다. 악성 페이로드는 사용자가 알아차릴 수 없도록 파일의 형체가 없는 파일리스 형태로 실행되어 감염 사실을 숨긴다. 해당 캠페인을 이용하여 유포된 RAT에는 "Revenge RAT", "Async RAT", "Houdini RAT", "Vjw0rm"이 있다. 또한, 캠페인에는 "AHK 로더 공격 방식", "PowerShell 공격 방식", "HCrypt 공격 방식"이 존..

MS Exchange 서버 취약점을 활용해 컴퓨터를 암호화하는 "Epsilon Red" 랜섬웨어가 발견됐다. "Epsilon Red" 랜섬웨어는 Golang(Go) 언어로 작성됐으며 암호화 단계 이전에 12개 이상의 파워셸 스크립트를 실행해 복구 무력화, 프로세스 종료 등의 행위를 수행한다. 또한, 해당 랜섬웨어에 감염되면 파일명에 ".epsilonred" 확장자를 추가하고 “Revil” 랜섬웨어의 랜섬노트와 유사한 랜섬노트를 보여준다. Sophos 분석가들은 최근 해당 랜섬웨어의 피해 기업 중 한 곳이 약 4.28BTC(약 $210,000)의 랜섬머니를 지불했다고 알렸다. 출처 [1] Sophos (2021.05.31) - A new ransomware enters the fray: Epsilon Re..