잉카인터넷 시큐리티대응센터 블로그

지난 6월경, 멕시코 금융 기관 사용자를 대상으로 정보를 탈취하는 캠페인이 발견됐다. 해당 캠페인에서 사용한 악성코드는 "Neurevt"로 다크웹 포럼에서 평균 $300에 판매되는 것으로 알려졌으며, 감염된 PC의 사용자 개인 및 금융 정보 등을 탈취하는 것이 주 목적이다. 공격자의 C&C 서버에서 다운로드한 “Neurevt” 악성코드를 실행하면 [그림 1]과 같이 압축 파일 등 4개의 파일을 지정된 경로에 드롭한다. 그다음 드롭한 파일 중 RAR 파일의 압축을 해제하고, 공격자의 C&C 서버와 통신을 위한 파일을 실행해 정보 탈취 및 추가 악성코드 다운로드를 시도한다. 드롭 파일 “Neurevt” 악성코드는 ‘C:\LMPupdate\Set\” 경로에 [표 1]의 목록에 해당하는 파일을 드롭 및 실행한다..

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 ..

최근 이스라엘 업체를 대상으로 진행된 APT 공격이 발견됐다. 이번 공격에는 "Shark"라고 불리는 백도어 악성코드가 사용됐으며, 5월에 발견된 "Milan" 악성코드의 변종으로 알려졌다. 이번 캠페인을 진행한 APT 그룹은 특정 업체의 인사담당자를 사칭한 가짜 링크드인(LinkedIn) 프로필을 생성해 해당 프로필을 열람한 사용자들이 악의적으로 조작된 웹사이트로 접속하도록 유도했다. 이들이 위장한 사이트는 독일 소프트웨어 업체인 Software AG와 이스라엘 IT 업체 ChipPC로 사용자가 사이트에 접속해 다운로드 버튼을 클릭할 경우 악성 문서를 다운로드한다. 사진 출처 : clearskysec 다운로드 받은 악성 문서를 실행하면 [그림 1]과 같이 문서 내용이 나타나며, 지정된 경로에 “Mila..

은행 업데이트 프로그램으로 위장한 악성코드 유포 사례가 발견되었다. 공격자는 "Warsaw" 악성코드를 가짜 은행 업데이트 프로그램으로 위장하여 유포하였다. 사용자가 "Warsaw" 악성코드를 정상 프로그램으로 착각하여 실행한다면, 공격자의 서버로 연결하여 "Warsan RAT" 악성코드를 추가 다운로드하여 실행한다. "Warsan RAT" 악성코드는 공개된 소스코드에 Telegram 통신, 자동 실행 등의 기능을 추가한 것으로 알려졌으며, 공격자의 명령을 전달받아 추가 악성행위를 수행한다. Warsaw 악성코드 "Warsaw" 는 다운로더 악성코드로 은행 업데이트 프로그램으로 위장하여 유포되었다. 사용자가 업데이트 프로그램으로 착각하고 실행하면 ‘보안을 강화하기 위해 모듈을 업데이트 하라’ 라는 내용의..

와이퍼 악성코드란 감염된 컴퓨터의 하드 드라이브를 사용자가 사용할 수 없도록 의도된 악성코드이다. 와이퍼 악성코드는 금전이나 데이터 탈취의 목적이 아닌 주로 사용자가 PC를 이용할 수 없게 하고, 시스템을 복원할 수 없게 만드는 목적으로 유포된다. 최근 도쿄 올림픽 이슈를 악용하거나 새롭게 등장한 이란 해커 그룹이 이스라엘 정부를 목표로 와이퍼 악성코드를 유포한 사례들이 있었다. 아래의 링크는 자사 블로그에 게시된 "도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 공격"에 대한 보고서이다. 2021.07.28 - [분석 정보/악성코드 분석 정보] - 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 또한, 2021년 7월 9일, 이란의 열차 시스템이 Meteor 와이퍼 악성코드 공격을 받았다. 이번 공격으로 인해 한..

최근 COVID-19 이슈 또는 정부 관련 주제를 악용한 스피어 피싱 캠페인이 발견됐다. 해당 캠페인은 주로 메일을 이용해 사용자에게 악성코드를 유포하며, 해당 악성코드에 감염될 경우 사용자 PC의 파일을 공격자에게 전송한다. 또한, 우크라이나 정부 기관에서 조지아로 공격 대상을 확대한 정황도 발견됐다. 스피어 피싱 캠페인 유포 사례 2021년 5월에 우크라이나 정부 기관을 대상으로 진행된 공격에서는 [그림 1]의 방식으로 진행됐다. 1. 피싱 메일 본문에 삽입된 링크에서 파일을 다운로드 한다. 2. 다운로드한 압축 파일 내부의 RTF 문서 파일을 실행한다. 3. 문서 파일 내부의 매크로가 실행돼 정보 탈취를 위한 악성코드를 다운로드 및 실행한다. 6월부터는 조지아 정부를 대상으로 공격 범위를 확대했으며..

"NetWire"은 백도어 악성코드로 2012년 등장한 이후 현재까지 지속적으로 유포되고 있다. 올해 발견된 유포 사례를 살펴보면 공격자는 "NetWire" 악성코드를 실행 할 수 있는 악성 파일을 제작하고, 정상 파일인 것처럼 위장하여 피싱 메일로 전달한 것으로 알려졌다. 유포된 악성 파일은 유포 시기에 따라 차이를 보이며 3월에는 악성 매크로가 삽입된 워드 문서, 6월에는 악성 스크립트가 삽입된 소프트웨어 설치 파일이 발견되었다. 만약 사용자가 첨부된 파일을 정상 파일로 착각하여 실행한다면, 첨부 파일에 삽입된 매크로 혹은 스크립트를 통해 “NetWire" 악성코드가 실행되어 파일을 조작하거나 사용자의 다양한 정보를 탈취한다. 악성 스크립트가 삽입된 가짜 소프트웨어 설치 파일 2021년 3월, 공격자..

FBI가 2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다. (사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf) 이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 “도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고”라는 주제를 파일 명으로 사용했다. 파일 명 : [至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다. 사용자 PC에서 이뤄지는 삭제 명령은 ‘사용자 폴더’ 하위의 모든 파일 및 폴더 중 [표 1]의 확장자를 지닌 파일을 대..

2018년에 처음 발견된 "Crackonosh" 악성코드가 최근 불법 게임 크랙판과 함께 유포되고 있다. "Crackonosh" 랜섬웨어는 PC의 안전 모드에서 실행되는 특징이 있으며 최종 페이로드인 "XMRig" 코인마이너를 이용해 사용자의 PC에서 불법적으로 모네로 암호화폐를 채굴한다. 또한, 드랍된 파일들을 이용하여 백신 프로그램을 삭제를 시도하거나 공격자의 C&C 서버에 연결을 시도한다. 1. 파일 드랍 게임 크랙 버전 설치 파일 "Crackonosh” 악성코드는 게임의 크랙 설치 파일로 유포되며 실행하면 서로 다른 동작을 수행하는 파일을 드랍한다. 2. 암호화폐 채굴 및 백신 프로그램 삭제 시도 Maintenance.vbs "Maintenance.vbs"는 커맨드를 통해 안전 모드에서 "serv..

웹 기반의 파일 공유 서비스인 "Dropbox"의 기능을 악용한 악성코드 공격 사례가 발견되고 있다. "Dropbox"는 편리한 파일 공유를 지원하기 위해 "Dropbox API" 라는 기능을 제공한다. "Dropbox API"는 엑세스 토큰을 통해 인증을 거쳐 사용자의 계정과 연결할 수 있으며 텍스트 검색, 파일 업로드 및 다운로드 등의 작업을 지원한다. 그러나 최근 유포된 악성코드에서 해당 기능을 악용한 것이 발견되었으며, 실행된 악성코드는 공격자가 미리 설정한 “Dropbox” 계정과 통신하여 파일 다운로드, 정보 탈취 등의 악성행위를 수행하였다. BoxCaon 악성코드 유포 사례 4월 경, "IndigoZebra" 라고 알려진 해커 그룹이 아프가니스탄 정부 직원으로 가장하여 국가 안보 위원회 (N..