잉카인터넷 시큐리티대응센터 블로그

2022년 1월경, 우크라이나의 정부 관련 조직 다수가 "WhisperGate" 공격으로 인해 운영이 중단됐다. 해당 공격은 랜섬웨어로 위장했지만 실질적으로 복구가 불가능한 파괴형 악성코드로 랜섬머니를 얻기보다는 대상 장치의 작동을 불가능하게 만들도록 설계되었다. ▶ 아래의 링크는 해당 악성코드에 대해 게시된 자사 블로그 정보성 글이다. 2022.01.17 - [최신 보안 동향] - 우크라이나를 표적으로 한 악성코드 등장 "WhiperGate" 악성코드는 두 단계의 악성 파일을 유포한 후 실행시킨다. 1단계의 악성 파일은 사용자 PC의 MBR을 랜섬노트 출력하는 코드로 변경하여 사용자가 재부팅 시 PC가 켜지지 않고, 공격자가 지정한 랜섬노트를 띄운다. 이후 악성코드는 자동으로 재부팅을 수행하지 않고, ..

"Blister" 로더는 합법적인 서명 인증서를 훔치거나 직접 기관에서 구매한 서명 인증서를 활용하여 정상 파일로 위장된다. 관련 인증 기관에서는 해당 활동을 공개하고, "Blister" 악성코드에 남용된 서명 인증서를 폐기하는 등의 조치를 취했다. 처음 유포되는 파일은 추가 파일을 드랍하고, 정상 프로세스에 로드되어 실행된다. 추가 파일은 자동 분석을 어렵게 하기 위해 10분간의 대기 상태 이후 동작하고, 내부 리소스 섹션에 저장된 페이로드를 복호화한다. 이후 정상 프로세스에 페이로드가 주입되어 실행되며 주입된 바이너리 코드는 "CobaltStrike" 또는 "BitRAT"로 사용자의 PC를 원격으로 제어한다. ① Blister Loader 파일을 "%AppData%" 경로에 드랍한다. ② 정상 프로그..

최근 자바스크립트로 작성한 "DarkWatchman" 악성코드가 발견됐다. 해당 악성코드는 공격자가 운영하는 C&C 서버에서 명령을 받아 사용자 PC를 조작하며, 키로거 악성코드를 실행해 사용자가 키보드로 입력한 값을 수집 및 공격자에게 전송한다. "DarkWatchman" 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다. 1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다. 2. 사용자가 첨부 파일을 다운로드 한 후, 압축을 해제하면 WinRAR SFX 형태의 압축 파일을 생성한다. 3. 압축 해제 후 생성한 실행 파일을 실행하면 자바스크립트로 작성한 “DarkWatchman” 악성코드를 실행한다. 4. “DarkWatchman” 악성코드는 키로거 파일의..

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..

최근 Notepad++의 설치 파일로 위장한 악성코드가 발견됐다. 해당 악성코드는 사용자 PC에 정상 Notepad++를 설치하고, 사용자가 키보드로 입력한 값을 파일로 저장해 공격자에게 전송한다. 또한, 정상 소프트웨어에 악성코드를 추가하는 방식을 주로 사용하는 StrongPity라는 그룹에서 유포한 것으로 알려졌다. StrongPity 그룹에서 유포한 악성코드는 [그림 1]과 같이 진행한다. 1. Notepad++ 설치 파일로 위장한 파일을 실행하면 지정된 경로에 Notepad++ 설치 파일과 Winpickr.exe 및 ntuis32.exe 파일을 드롭한다. 2. Notepad++ 설치 파일을 실행해 사용자 PC에 정상 프로그램인 Notepad++ v8.1.7을 설치한다. 3. 다음으로, update..

2021년 9월, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다. ▶ 아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다. 2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장 "Moses Staff" 그룹의 악성코드는 2021년 3월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서..

최근 금융 기관을 대상으로 공격하는 MirroBlast 캠페인이 발견됐다. 해당 캠페인은 악성 문서 파일을 유포한 후 사용자 PC에 악성코드를 설치하고, 공격자의 C&C 서버에서 최종 페이로드의 다운로드를 시도한다. MirroBlast 캠페인은 공격 대상 PC에서 악성 스크립트를 설치하는 MSI 파일을 다운로드 후 실행하며, [그림 1]과 같이 진행한다. 1. XLS 파일을 실행하면 공격자의 C&C 서버에서 MSI 파일을 다운로드 한다. 2. 다운로드한 MSI 파일을 실행하면 내부의 파일을 사용자 PC에 설치한다. 3. 그 후, 사용자 PC에 설치한 파일 중 EXE 파일을 실행해 스크립트의 난독화를 해제한다. 4. 난독화를 해제한 스크립트를 실행하면 공격자가 운영하는 C&C 서버와 통신을 시도한다. 1...

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시..

최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에..

LuoYu 해킹 그룹은 2014년에 처음 등장하여 2017년도 까지는 한국을 포함해 중국, 홍콩, 일본, 대만 등 동아시아 지역의 IT 산업을 대상으로 공격을 시도했다. 하지만 2017년도부터 IT 기업뿐만 아니라 교육 서비스 직종 및 미디어 기업과 같은 업종을 공격 대상에 포함시켰다. 해당 해킹 그룹은 Mac, Linux, Windows 및 Android 시스템을 대상으로 하며 "WinDealer" 뿐만 아니라 "ReverseWindow", "SpyDealer"과 같은 악성코드도 함께 사용한다. "WinDealer" 악성코드는 특정 폴더에 존재하는 데이터 파일들을 이용하여 공격자의 C&C 서버 정보 및 공격자가 필요로 하는 특정 정보를 읽어온다. 최종적으로 "WinDealer" 악성코드 내부에 하드코딩..