잉카인터넷 시큐리티대응센터 블로그

2014년에 처음 등장한 Gelsemium 사이버 공격 그룹은 정부, 대학교, 전자 제품 제조업체 및 종교 단체 등을 공격했다. 현재는 Gelsemium이 더욱 정교해진 백도어로 업데이트되어 서남아시아 및 동아시아를 주 타겟으로 공격하고 있으며 최근 PC용 안드로이드 에뮬레이터인 NoxPlayer로 위장해 백도어를 유포한 사례가 있다. 보안 기업 ESET에서는 "Gelsemine", "Gelsenicine", "Gelsevirine" 를 사용하여 백신 프로그램 탐지를 우회하고, 관리자 권한을 획득하는 등 더욱 정교해진 새로운 버전의 Gelsemium 백도어가 유포되고 있다고 발표했다. 출처 : https://www.eset.com/ca/about/newsroom/press-releases/eset-res..

최근 “SkinnyBoy”로 불리는 새로운 악성코드가 발견됐다. Clust25가 공개한 보고서에 따르면 해당 악성코드는 러시아에서 활동하는 APT28 조직이 사용자 PC의 정보를 수집하고, 최종 페이로드를 다운로드 받기 위해 사용하는 것으로 알려졌다. 출처 : https://cluster25.io/2021/06/03/a-not-so-fancy-game-apt28-skinnyboy/ 현재, “SkinnyBoy”는 국제 행사 초대와 관련된 내용을 지닌 조작된 문서를 사용해 유포한 것으로 알려졌으며, 실행 흐름은 [그림 1]과 같다. 드롭퍼 (Dropper) “SkinnyBoy” 악성코드를 실행하면 [표 1]과 같이 런처(Launcher)와 다운로더(Downloader) 특징을 지닌 파일을 드롭하고 자가삭제한..

미국의 전자 제품 회사의 임원으로 위장한 피싱 메일이 발견되었다. 공격자는 피싱 메일에 악성 파일을 다운로드 할 수 있는 링크를 포함하여 사용자로 하여금 악성 파일을 다운로드 하도록 유도하였다. 다운로드 한 Zip 파일은 가짜 PDF 파일과 다운로더 악성코드로 구성되었는데, 피싱 메일이 유포된 시기에 따라 다운로더 악성코드 파일이 변경되었다. 공격 초기에는 JavaScript 로 작성된 다운로더 악성코드가 유포되었지만, 이후 발견된 사례에서는 악성 Excel 파일이 유포된 것으로 알려졌다. 만약 사용자가 악성 JavaScript 혹은 Excel 파일을 실행하면 추가 파일을 다운로드하여 악성 행위를 수행한다. 악성 동작 사용자가 악성 Excel 파일 실행 시, Excel 파일 내부의 매크로를 통해 공격자의..

최근 동남아시아의 정부 기관을 타겟으로 하는 APT 공격이 발생하였다. 관련 내용은 자사 블로그 '최신 보안 동향'에서 확인이 가능하다. 2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격 해당 공격은 중국 해커 그룹인 SharpPanda에 의해 발생하였으며, 피싱 메일을 통해 시작되었다. 피싱 메일은 RoyalRoad 악성코드를 다운로드하고 이 후, 사용자 정보를 탈취하고 파일을 다운로드 하는 등의 악성 동작을 수행한다. 이번 APT 공격은 다음의 흐름도와 같이 진행되며, 위의 RoyalRoad의 변종으로 기존의 동작과 다른 점을 확인할 수 있다. 아래의 그림과 같이, 피싱 메일은 다른 정부기관을 사칭하였으며, 해당 메일의 첨부 파일은 정식 문서를 가장한 악성 문..

지난 2월경, AutoHotKey(AHK) 스크립트 언어를 기반으로 만든 실행 파일을 통해 악성코드를 유포시키는 캠페인이 등장했으며 현재까지 더욱 정교한 공격을 위해 패치를 거듭하고 있다. AutoHotKey 스크립트는 매크로를 정의하여 사용할 수 있도록 해 주는 유틸리티로 해당 캠페인에서 vbs 파일을 삽입해 페이로드를 드랍하고, 실행한다. 악성 페이로드는 사용자가 알아차릴 수 없도록 파일의 형체가 없는 파일리스 형태로 실행되어 감염 사실을 숨긴다. 해당 캠페인을 이용하여 유포된 RAT에는 "Revenge RAT", "Async RAT", "Houdini RAT", "Vjw0rm"이 있다. 또한, 캠페인에는 "AHK 로더 공격 방식", "PowerShell 공격 방식", "HCrypt 공격 방식"이 존..

애플리케이션을 빌드하기 위한 프로그램인 "MSBuild"의 기능을 악용하여 악성코드를 유포한 사례가 발견되었다. "MSBuild" (Microsoft Build Engine)는 애플리케이션을 빌드하기 위해 마이크로소프트에서 제공하는 개발도구이며, 일반적으로 Visual Studio에서 애플리케이션을 빌드할 때 사용한다. 또한 Visual Studio가 설치되지 않은 환경에서도 빌드 할 수 있도록 기능을 제공하는데, 최근 발견된 사례의 경우 "MSBuild"의 기능을 악용해 악성코드를 실행하고 추가 악성행위를 수행한다. 악성 프로젝트 파일 "MSBuild"는 빌드 시 프로젝트 파일(.proj)을 읽어 빌드를 수행하는데, 프로젝트 파일에는 데이터베이스 설정, 다른 프로젝트 정보 가져오기 및 수행할 작업 지정..

"RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다. 최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다. RoyalRoad "RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 ..

최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하..

2018년 12월 말 처음 발견된 “LemonDuck”은 Linux 시스템을 대상으로 하여 Linux 루트 계정 비밀번호를 무차별 대입 공격을 통해 SSH 원격 접속을 하거나 Windows 시스템 대상으로 악성 문서 파일이 첨부된 메일을 통해 유포되었다. 하지만 2021년 3월경, “LemonDuck”이 공격 대상에 MS Exchange Server를 추가하였고, 해당 서버의 취약점을 악용하여 유포되기 시작했다. 해당 악성코드는 공격자의 서버에서 페이로드를 다운로드한 후 백신 프로그램으로 위장한 서비스를 생성해 코인 마이너를 등록하고, 공격에 사용된 웹 쉘을 사용자의 폴더에 숨긴다. 또한, 사용자의 PC에 관리자 권한이 있는 계정을 생성하여 RDP(원격 데스크톱) 연결을 활성화하고, 최종적으로 감염된 P..

Telegram에서 제공하는 Bot 기능을 악용하여 사용자의 데이터를 탈취하고 감염된 PC를 조작하는 ToxicEye 악성코드가 발견되었다. Telegram은 인터넷 메신져 프로그램으로 알림, 정보 열람 등 사용자가 반복적으로 해야할 일들을 대체해줄 수 있는 Bot 기능을 제공한다. 공격자는 Telegram Bot 계정을 생성하고 이를 통해 ToxicEye 악성코드에 감염된 환경에 명령을 내려 다양한 악성행위를 수행하였다. 이번에 발견된 ToxicEye 악성코드는 해커 포럼과 GitHub에 소스코드가 공개되었으며, 최근 이메일을 통해 유포된 사례가 발견되었다. ToxicEye 악성코드 실행 시, C:\Users\ToxicEye\rat 경로에 자가복제한 뒤 관리자 권한으로 실행한다. 그리고 복사한 파일이 ..