분석 정보882 Payload 랜섬웨어, ETW 패치로 보안 솔루션 탐지 우회 Payload 랜섬웨어는 올해 2월에 첫 등장한 랜섬웨어로 이 조직은 에너지, 의료 및 통신 업체 등을 대상으로 단 기간에 약 30여곳을 공격해 데이터를 탈취했다고 주장하고 있다. 이 랜섬웨어는 스레드를 생성해 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 암호화를 진행하며 ETW(Event Tracing for Windows) 관련 함수의 주소 부분을 패치해 보안 솔루션의 탐지를 우회한다. 또한 NTFS ADS(Alternate Data Stream)을 이용한 자가 삭제로 실행 흔적을 숨기며 실행 인자값을 설정해 암호화 대상 경로와 병렬 스레드 수 및 ETW 우회 여부 등의 악성 동작 실행을 설정 할 수 있다. 추가로, Payload 랜섬웨어는 2021년에 소스코드가 유출된 Babuk 랜섬웨어의 .. 2026. 4. 24. 해커조직 TeamPCP, LiteLLM PyPI에 악성코드 삽입 2025년 하반기부터 활동이 관찰된 TeamPCP는 클라우드 환경을 주요 표적으로 삼아 공급망 공격을 수행하는 해킹조직으로 기업이 신뢰하는 보안 도구 및 개발 라이브러리를 악용해 악성코드를 유포하는 특징을 보인다. 2025년 12월에는 노출된 Docker와 Kubernetes API 및 Redis 서버를 공격하고 피해 시스템을 프록시 네트워크 및 암호화폐 채굴 인프라로 악용하는 클라우드 인프라 하이재킹 공격이 확인됐다. 이후 2026년 3월에는 Aqua Security의 trivy-action 저장소를 대상으로 한 공급망 공격을 수행해 1만 개 이상의 CI/CD 파이프라인에서 AWS 및 Azure API 키가 유출됐다. 또한 같은 달에는 탈취한 자격 증명을 활용해 npm 생태계에 자가 증식형 웜(Cani.. 2026. 4. 21. ILSpy 홈페이지로 위장한 멀웨어 유포 주의 .NET 프레임워크로 빌드된 실행 파일을 디컴파일하는 툴로 유명한 ILSpy 을 사칭한 홈페이지를 통해 멀웨어가 유포되고 있다. ILSpy 공식 저장소 운영자는 저장소 이슈 글을 통해 해당 도메인(ilspy.org)은 공식 홈페이지가 아니며 멀웨어를 유포하고 있음을 경고했다.ILSpy 저장소 이슈 게시글 링크 : https://github.com/icsharpcode/ILSpy/issues/3709 하지만 현재 구글에서 ILSpy 를 검색하면 악성 도메인 “ilspy.org” 가 여전히 최상단에 노출되고 있으므로 주의가 필요하다. ILSpy 위장 홈페이지공격자가 작성한 악성 도메인 “ilspy.org” 는 마치 ILSpy 공식 홈페이지인 양 프로그램에 대한 설명과 다운로드 링크를 소개하고 있다. “.. 2026. 4. 15. DeepLoad, 확장 프로그램으로 위장해 암호화폐 탈취 최근 크로미움 기반 브라우저 사용자를 대상으로 확장 프로그램을 강제로 설치해 암호화폐를 탈취하는 DeepLoad 악성코드가 발견됐다. DeepLoad는 사용자를 속여 명령 실행을 유도하는 ClickFix 기법을 이용해 유포되며 실행된 PowerShell 스크립트는 C&C 서버에서 Go 언어로 작성된 EXE 파일을 다운로드 및 실행한다. 해당 EXE는 악성 확장 프로그램의 구성 파일을 드롭한 뒤 브라우저에 직접 확장 프로그램을 설치하고 설치된 악성 확장은 정상적인 사용자 지갑 주소를 공격자의 암호화폐 지갑 주소로 치환함으로써 사용자가 인지하지 못한 상태에서 암호화폐를 공격자에게 전송한다. 악성 확장 프로그램의 구성 파일은 크롬 웹 스토어의 기존 다운로드 경로와 다른 폴더에 저장되며 크로미움 기반의 브라우저.. 2026. 4. 14. 감염형 코인마이너 XiaoBa XiaoBa는 중국어로 소형 버스를 의미하는 말로, 2017년 동명으로 활동하는 랜섬웨어가 처음으로 발견되었다. 이후 XiaoBa는 수 차례의 버전업을 거치다 랜섬웨어 기능을 포기하고 감염 기능을 가진 코인 마이닝 멀웨어로 노선을 변경했다. 최근 다시 전파되는 XiaoBa 변종은 Windows OS 의 실행 파일, 연결된 USB 드라이브를 감염시키고 시스템의 정상 기능을 마비시키기 때문에 주의가 필요하다. 멀웨어 은닉, 지속성 유지XiaoBa 는 중국의 보안 업체 Qihoo360 의 보안 프로그램으로 위장하고 있다는 점, 중국에서 활발하게 사용되는 EPL(Easy Programming Language)를 빌드하는 프레임워크 중 하나인 BlackMoon 으로 작성된 점으로 보아 기본적으로 중국을 공격 대.. 2026. 4. 14. Reynolds 랜섬웨어, BYOVD로 윈도우 디펜더 무력화 올해 2월 등장한 Reynolds 랜섬웨어는 취약한 드라이버를 악용하는 BYOVD(Bring Your Own Vulnerable Driver) 기법을 이용해 보안 프로그램을 무력화하는 특징을 가진다. Reynolds 랜섬웨어를 실행하면 보안 업체 NsecSoft의 커널 드라이버인 NsecKrnl 드라이버를 드롭한 뒤 IOCTL 코드를 이용해 윈도우 디펜더를 비롯한 보안 프로그램을 종료한다. 이러한 방식은 일반적인 랜섬웨어가 보안 프로그램의 프로세스 목록을 확인한 뒤 해당 프로세스를 종료하는 방식과 달리 취약한 드라이버를 이용해 상승된 권한에서 보안 프로그램을 직접 종료한다는 점에서 차이가 있다.이후 Curve25519(X25519)와 HC-128 알고리즘을 이용해 파일 암호화를 수행하며 파일 크기에 따라.. 2026. 3. 6. 이전 1 2 3 4 ··· 147 다음
