분석 정보/악성코드 분석 정보397 Notepad++ 설치 파일로 위장한 StrongPity 악성코드 최근 Notepad++의 설치 파일로 위장한 악성코드가 발견됐다. 해당 악성코드는 사용자 PC에 정상 Notepad++를 설치하고, 사용자가 키보드로 입력한 값을 파일로 저장해 공격자에게 전송한다. 또한, 정상 소프트웨어에 악성코드를 추가하는 방식을 주로 사용하는 StrongPity라는 그룹에서 유포한 것으로 알려졌다. StrongPity 그룹에서 유포한 악성코드는 [그림 1]과 같이 진행한다. 1. Notepad++ 설치 파일로 위장한 파일을 실행하면 지정된 경로에 Notepad++ 설치 파일과 Winpickr.exe 및 ntuis32.exe 파일을 드롭한다. 2. Notepad++ 설치 파일을 실행해 사용자 PC에 정상 프로그램인 Notepad++ v8.1.7을 설치한다. 3. 다음으로, update.. 2021. 12. 17. 금전보다 정치적인 공격을 우선시하는 Moses Staff 해킹 그룹 2021년 9월, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다. ▶ 아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다. 2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장 "Moses Staff" 그룹의 악성코드는 2021년 3월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서.. 2021. 12. 14. 금융 기관을 대상으로 악성코드를 유포하는 MirroBlast 캠페인 최근 금융 기관을 대상으로 공격하는 MirroBlast 캠페인이 발견됐다. 해당 캠페인은 악성 문서 파일을 유포한 후 사용자 PC에 악성코드를 설치하고, 공격자의 C&C 서버에서 최종 페이로드의 다운로드를 시도한다. MirroBlast 캠페인은 공격 대상 PC에서 악성 스크립트를 설치하는 MSI 파일을 다운로드 후 실행하며, [그림 1]과 같이 진행한다. 1. XLS 파일을 실행하면 공격자의 C&C 서버에서 MSI 파일을 다운로드 한다. 2. 다운로드한 MSI 파일을 실행하면 내부의 파일을 사용자 PC에 설치한다. 3. 그 후, 사용자 PC에 설치한 파일 중 EXE 파일을 실행해 스크립트의 난독화를 해제한다. 4. 난독화를 해제한 스크립트를 실행하면 공격자가 운영하는 C&C 서버와 통신을 시도한다. 1... 2021. 12. 10. 다크웹에서 판매중인 Spectre RAT 악성코드 2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시.. 2021. 11. 26. HCrypt 변종을 사용하는 Water Basilisk 캠페인 최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에.. 2021. 11. 24. 동아시아 IT 기업을 공격하는 WinDealer 악성코드 LuoYu 해킹 그룹은 2014년에 처음 등장하여 2017년도 까지는 한국을 포함해 중국, 홍콩, 일본, 대만 등 동아시아 지역의 IT 산업을 대상으로 공격을 시도했다. 하지만 2017년도부터 IT 기업뿐만 아니라 교육 서비스 직종 및 미디어 기업과 같은 업종을 공격 대상에 포함시켰다. 해당 해킹 그룹은 Mac, Linux, Windows 및 Android 시스템을 대상으로 하며 "WinDealer" 뿐만 아니라 "ReverseWindow", "SpyDealer"과 같은 악성코드도 함께 사용한다. "WinDealer" 악성코드는 특정 폴더에 존재하는 데이터 파일들을 이용하여 공격자의 C&C 서버 정보 및 공격자가 필요로 하는 특정 정보를 읽어온다. 최종적으로 "WinDealer" 악성코드 내부에 하드코딩.. 2021. 11. 11. 이전 1 ··· 9 10 11 12 13 14 15 ··· 67 다음
