2021/12 48

[주간 랜섬웨어 동향] - 12월 2주차

잉카인터넷 대응팀은 2021년 12월 03일부터 2021년 12월 09일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "VoidCrypt" 외 3건, 변종 랜섬웨어는 "Makop" 외 5건이 발견됐다. 2021년 12월 03일 Makop 랜섬웨어 파일명에 ".[키 값].[공격자 메일].mkp" 확장자를 추가하고 "+README-WARNING+.txt"라는 랜섬노트를 생성하는 "Makop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 12월 04일 Thanos 랜섬웨어 파일명에 ".[키 값].unlock" 확장자를 추가하고 "UNLOCK_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해..

금융 기관을 대상으로 악성코드를 유포하는 MirroBlast 캠페인

최근 금융 기관을 대상으로 공격하는 MirroBlast 캠페인이 발견됐다. 해당 캠페인은 악성 문서 파일을 유포한 후 사용자 PC에 악성코드를 설치하고, 공격자의 C&C 서버에서 최종 페이로드의 다운로드를 시도한다. MirroBlast 캠페인은 공격 대상 PC에서 악성 스크립트를 설치하는 MSI 파일을 다운로드 후 실행하며, [그림 1]과 같이 진행한다. 1. XLS 파일을 실행하면 공격자의 C&C 서버에서 MSI 파일을 다운로드 한다. 2. 다운로드한 MSI 파일을 실행하면 내부의 파일을 사용자 PC에 설치한다. 3. 그 후, 사용자 PC에 설치한 파일 중 EXE 파일을 실행해 스크립트의 난독화를 해제한다. 4. 난독화를 해제한 스크립트를 실행하면 공격자가 운영하는 C&C 서버와 통신을 시도한다. 1...

STOP 랜섬웨어 암호화 차단 백신

독일의 한 보안회사, G DATA에서 STOP 랜섬웨어의 암호화 동작을 방지하는 백신을 출시하였다. 해당 백신은 STOP 랜섬웨어의 악성동작 자체를 막지는 못하지만, 파일의 암호화 동작을 차단할 수 있다고 전해진다. STOP 랜섬웨어의 암호 해독 소프트웨어는 지난 2019년 10월에 출시된 바가 있다. 하지만 그 이후로 다양한 변종이 등장하였기 때문에 최신 변종에 대해서는 G DATA의 백신을 통해 추가적인 암호화 동작을 막는 것이 최선의 방법으로 알려진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - STOP Ransomware vaccine released to block encryption https://www.bleepingcom..

새로운 모습으로 나타난 Cerber 랜섬웨어

최근 Gitlab과 Atlassian Confluence를 대상으로 Cerber랜섬웨어가 다시 등장하였다. Cerber랜섬웨어는 2016년에 처음 나타나 2019년까지 지속적으로 모습을 드러내다 서서히 사라졌다. Cerber랜섬웨어 변종은 과거와 달리 더욱 강력해진 모습으로 돌아왔다. Windows를 포함하여 Linux 시스템까지 공격 대상을 확대하고 Gitlab과 Atlassian Confluence의 원격코드 실행 취약점을 악용하여 서버에 접근하고, 악성 동작을 수행한다. 이때 사용된 취약점은 CVE-2021-26084과 CVE-2021-22205이다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - New Cerber ransomwar..

Cuba 랜섬웨어에 대한 FBI의 경고

지난 11월 Cuba 랜섬웨어의 배후 그룹은 정보 및 의료, 금융 등의 기관을 공격하였다. 이로 인해 적어도 49개가 넘는 기관이 피해를 입었고, 이에 대하여 미국 연방수사국(FBI)은 관련된 세부 정보를 발표하였다. Cuba 랜섬웨어는 2019년 최초로 등장하였으며, 현재까지 4,390만 달러가 넘는 이익을 창출한 것으로 알려진다. 해당 랜섬웨어는 주로 피싱 메일, MS Exchange 서버의 취약점, RDP 도구 등을 사용하여 사용자의 네트워크에 접근하고, 그 후 파일 암호화 등의 공격을 수행한다. 사진 출처: FBI 출처 [1] Securityweek (2021.12.08) - FBI Warns of Cuba Ransomware Attacks on Critical Infrastructure http..

오미크론 변종 정보를 위장한 미국 대학 계정정보 탈취 피싱 메일 유포

코로나19가 지속적으로 확산되는 가운데 최근, 오미크론 변종이 발견되어 화제가 되고 있다. 이러한 뉴스를 악용하여 일부 대학을 표적으로 하는 피싱 메일이 다량 발견되었다. Proofpoint에 따르면, 피싱 메일은 방학 시즌을 맞이한 학생 및 교직원을 대상으로 "Information Regarding COVID-19 Omicron Variant"과 같은 제목으로 유포되었다. 메일에는 대학 계정 자격증명을 탈취하기 위해 공식 로그인 페이지를 위장한 URL이나 htm파일이 첨부 되어있다. 사진 출처: Proofpoint 출처 [1] Proofpoint (2021.12.08) - University Targeted Credential Phishing Campaigns Use COVID-19, Omicron T..

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위험도 높음(High) 취약점에 대해 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Thunderbird v91.4.0 및 이후 버전 - Firefox v95 및 이후 버전 - Firefox v91.4.0 및 이후 버전 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/ https://www.mozi..

취약점 정보 2021.12.08

미 국무부 iPhone에서 Pegasus Spyware 발견

이스라엘을 기반으로 하는 NSO 그룹의 Pegasus Spyware가 미국 국무부 관리의 iPhone에서 발견되었다. 최소 9명의 직원이 해킹을 당한 것으로 알려지며, NSO 그룹은 이에 대해 해당 스파이웨어의 판매 이후 공격에 대해서 알지 못한다고 밝혔다. Pegasus Spyware는 녹음, 녹화 및 사용자 정보 탈취 등 각종 원격제어가 가능한 소프트웨어로, 지난 11월 Apple은 NSO 그룹과 그 모회사인 Q Cyber Technologies를 상대로 Apple 사용자 감시 및 표적 공격에 대해 미국 연방 법원에 소송을 제기한 바 있다. 사진 출처: Apple 출처 [1] Securityaffairs (2021.12.07) - NSO Group spyware used to compromise iP..

랜섬웨어 공격으로 중단된 DMEA

지난 11월에 Delta-Montrose Electric Association(DMEA)는 랜섬웨어 공격을 받아 일부 시스템이 중단되었다. DMEA는 콜로라도주 몬트로즈에 지역 전기 협동 조합으로 Touchstone Energy 연맹에 속하고 있다. 해당 공격으로 DMEA의 내부 네트워크 기능은 90%가량 손상되었으며 전화, 이메일, 청구 및 고객 계정 시스템이 중단되었다고 전해진다. 아직까지 어떠한 랜섬웨어의 공격인지 밝혀진 바는 없으며, 아래의 그림과 같이 DMEA의 사이트에서 관련 정보를 전달하며 12월 6일에서 10일 사이에 업무를 재개할 것이라 알렸다. 사진 출처: DMEA 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cybera..

Nobelium의 새로운 악성코드, Ceeloader

최근, Nobelium해커그룹의 새로운 악성 코드인 Ceeloader가 발견되었다. Nobelium 해커그룹은 APT29 또는 CozyBear 등으로 불리며, 러시아의 연방 대외 정보국을 배후로 두고 있는 것으로 알려져 있다. 그리고 이 그룹은 작년 미국의 SolarWinds 공급망 공격의 배후로 추정된다. Ceeloader 악성코드는 Cobalt Strike BEACON 에 의해 사용자 PC에 설치되며, 다운로더의 동작을 수행한다. 출처 [1] Mandiant (2021.12.07) - Suspected Russian Activity Targeting Government and Business Entities Around the Globe https://www.mandiant.com/resources/..