잉카인터넷 시큐리티대응센터 블로그

취약점을 이용하여 배포되는 AsyncRAT 악성코드

최근 “AsyncRAT” 악성코드가 트렌드에 맞춘 주제를 통해 활발히 배포되기 시작했다. “AsyncRAT” 악성코드는 콜롬비아 전역에 스팸 메일을 통해 퍼졌으며 코로나 이슈가 잠잠해지면서 여행 법률 완화로 인해 늘어난 여행객을 대상으로 여행 관련 정보 파일로 위장해 “AsyncRAT” 악성코드를 유포한 바 있다. 또한, 문서 파일을 이용해 원격 코드 실행이 가능한 “CVE-2022-30190” Follina 취약점을 이용해 해당 악성코드를 배포한 이력이 있다. 아래는 자사 블로그에 게시된 Follina 취약점에 관련된 글이다. 2022.06.03 - [취약점 정보] - 원격으로 코드 실행하는 Follina 취약점 주의 “AsyncRAT” 악성코드는 작업 스케줄러에 등록되거나 레지스트리 등록을 통해 지속..

암호화폐 트래커 사칭 앱, MaliBot

암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의..

최근 Google Play에서 악성코드가 다량 유포되었다. 해당 악성코드는 페이스북 계정 정보를 탈취하거나, 유료 앱 구매를 유도하고 사용자 동의 없이 광고를 띄워 수익을 얻는 등의 악성 동작을 수행한다. 작년에도 이와 유사한 동작을 하는 악성 앱이 Google Play를 통해 유포되어 자사 블로그에서 언급한 바 있다. https://isarc.tachyonlab.com/4555 이 악성코드들 중 일부는 판매가 중단되기도 하였으나, 일부 악성 앱도 아직까지 판매 중이다. 아래는 Google Play에서 판매된 악성 앱의 정보이다. 그중 광고 수익을 창출하는 Adware 악성 앱은 아래의 그림과 같이, 유료 앱을 구매하도록 유도하면서 사용자의 동의 없이 광고를 띄워 수익을 창출한다. 악성 앱들은 Googl..

최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. “SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다. 분석 및 중복 실행 방지 “SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “..

최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림..

최근 소셜 미디어 사용자의 정보를 탈취하는 "FFDroider" Stealer 악성코드가 발견됐다. 보안 업체 Zscaler에 따르면 "FFDroider" 악성코드는 소프트웨어 크랙 및 토렌트 사이트에서 다운로드한 파일 등을 통해 유포된 것으로 알려졌다. 사용자가 해당 악성코드를 실행하면 먼저, 웹 브라우저에 저장된 쿠키 및 자격 증명 정보를 수집한다. 이후, 수집한 정보 중 페이스북 등의 소셜 미디어와 관련된 쿠키 정보를 사용해 인증을 시도하며, 정상적으로 인증되면 사용자의 소셜 미디어 정보가 유출될 수 있다. 브라우저 및 웹사이트 정보 탈취 “FFDroider” 악성코드는 크롬, 마이크로소프트 엣지 등 [표 1]에 작성된 웹 브라우저를 대상으로 쿠키 및 자격 증명 정보를 수집한다. 그 후, 수집한 정..

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내..

2020년 1월부터 활동을 시작한 “Haskers Gang”은 러시아어를 구사하는 구성원으로 이루어져 있으며 “스틸러”, “암호화 기” 악성코드를 무료 배포 또는 판매하고 있다. 현재까지도 해당 해킹 그룹은 지속적인 업데이트를 통해 고객들을 유치하고 있으며 텔레그램을 통해 정보 탈취 로그를 받을 수 있도록 운영하고 있다. 해당 해킹 그룹의 인포 스틸러 “GinzoStealer”는 무료로 배포 중이며 고객이 텔레그램 계정을 통해 탈취한 정보를 받을 수 있다. “GinzoStealer”는 유튜브를 이용해 게임 치트 툴, 불법 복제 소프트웨어로 위장하여 유포되고 있고, 감염되면 사용자의 PC 정보, 암호화폐 지갑 정보 및 브라우저 쿠키 정보를 탈취한다. 해당 악성코드는 더 강력한 인포 스틸러와 불법 암호화폐 ..

잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다. 2022년 3월 25일 Conti 랜섬웨어 파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다. Lapsus$ 랜섬웨어 그룹 구성원 일부 체포 최근 런던시 ..

최근 러시아어를 사용하는 다크웹 해킹 포럼에서 “BlackGuard” 스틸러(Stealer) 악성코드의 판매 정황이 발견됐다. “BlackGuard”는 사용자 PC에서 브라우저 및 암호화폐 지갑 등의 정보를 탈취하기 위해 제작된 악성코드이다. 현재, “BlackGuard” 악성코드는 해킹 포럼에서 200 ~ 700 달러의 가격에 판매되고 있다. 게시글에 따르면, 다수의 브라우저 및 암호화폐 지갑 등에서 정보를 수집해 공격자에게 전송하며, 분석을 방지하기 위해 안티 디버깅 기법 및 난독화 등이 적용됐다고 알려졌다. 탐지 및 분석 방지 “BlackGuard” 악성코드를 실행하면 먼저, [표 1]의 목록과 같이 백신 프로그램 및 가상환경 관련 프로세스를 확인한 후 종료한다. 그 후, BlockInput API..