잉카인터넷 시큐리티대응센터 블로그

최근, 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 이 앱은 알림 화면 등에서 한국어를 사용하여 한국인을 대상으로 공격을 시도하는 것으로 추정되며, 단말기에 저장된 문자메시지를 비롯하여 연락처, 이미지 정보를 탈취한다. 해당 앱은 앱스토어와 같이 일반적인 설치 경로가 아닌, 웹 페이지를 통해 유포된 것으로 전해진다. 아래의 이미지와 같이 다운로드 서버에 연결하면 악성 앱이 다운로드된다. 현 시점에는 해당 서버에 연결되지 않는다. 앱을 실행하면, 아래의 그림과 같이 악성 동작에 필요한 각종 권한을 요구한다. 권한을 획득한 다음, 앱에서 서버 점검중이라는 화면을 띄우지만, 정보탈취 동작을 수행한다. 연락처 정보 중에서 고유 ID, 연락처 이름, 전화번호, 별명 정보를 획득하여 원격지에 전송하..

2021년 6월 말, .Cleafy 대응팀은 "BRATA" 라는 악성 앱을 처음 발견하였다. 이 악성 앱은 "Sicurezza Dispositivo" 또는 "AntiSPAM" 등의 아이콘으로 위장하여 이탈리아 은행 앱을 사용하는 고객들을 대상으로 공격하였다고 알려졌다. 사용자가 정상 앱으로 인지하여 악서 앱을 실행하였을 경우 접근성 서비스를 허용하도록 유도하고 사용자가 이를 허용하면 단말기 내 주요 정보들을 수집하여 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 제일 먼저 사용자에게 접근성 서비스 권한을 요청한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송하거나, 특정 번호에서 문자 메시지가 수신되면 차단한다. 또한, 사용자..

최근 메신저 앱을 위장하여, 사용자의 개인적인 정보를 탈취하는 악성 앱이 등장하였다. 해당 악성 앱은 사용자 단말기에 나타나는 알림메시지의 정보를 획득하고, 타 메신저 애플리케이션에 접근하여 사용자의 채팅 내용을 탈취한다. 국내외 사용자가 많은 Whatsapp 과 Signal 메신저 앱을 대상으로 악성 동작을 수행한다. 해당 앱은 아래의 이미지와 같이 'Crazy Talk'라는 이름의 메신저 앱으로 유포되었다. 앱을 실행하면, 아래의 그림과 같이 전화번호 인증을 요구한다. 사용자가 입력한 번호가 정상적인 번호인지 OTP번호를 통해 확인한다. 단말기에 연락처가 저장되어 있는지 확인하고, 연락처의 이름과 전화번호를 탈취한다. 그리고 Whatsapp 의 기본 앱과 Business 용 앱에 대해 각종 정보를 탈..

잉카인터넷 대응팀은 2022년 1월 7일부터 2022년 1월 13일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "SFile"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "NightSky" 랜섬웨어 발견됐으며, "BlackMatter" 랜섬웨어의 논리 오류 발견과 "AvosLocker" 및 "TellYouThePass' 랜섬웨어의 변종이 발견된 이슈가 있었다. 2022년 1월 7일 NightSky 랜섬웨어 발견 파일명에 ".nightsky" 확장자를 추가하고 "NightSkyRadMe.hta"라는 이름의 랜섬노트를 생성하는 "NightSky" 랜섬웨어가 발견됐다. 외신에 따르면 "NightSky" 랜섬웨어 측은 약 80만 달러의 랜섬머니를 사용자에게 요구한 것으로 ..

잉카인터넷 대응팀은 2021년 12월 31일부터 2022년 1월 6일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "PyCryptor" 외 3건, 변종 랜섬웨어는 "Conti" 외 5건이 발견됐다. 2021년 12월 31일 HelloXD 랜섬웨어 파일명에 ".hello" 확장자를 추가하고 "Hello.txt"라는 랜섬노트를 생성하는 "HelloXD" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. PyCryptor 랜섬웨어 파일명에 ".CRYPT" 확장자를 추가하고 "README.txt"와 [그림 1]의 랜섬노트를 실행하는 "PyCryptor" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다. Conti 랜섬웨어 파일명..

"Blister" 로더는 합법적인 서명 인증서를 훔치거나 직접 기관에서 구매한 서명 인증서를 활용하여 정상 파일로 위장된다. 관련 인증 기관에서는 해당 활동을 공개하고, "Blister" 악성코드에 남용된 서명 인증서를 폐기하는 등의 조치를 취했다. 처음 유포되는 파일은 추가 파일을 드랍하고, 정상 프로세스에 로드되어 실행된다. 추가 파일은 자동 분석을 어렵게 하기 위해 10분간의 대기 상태 이후 동작하고, 내부 리소스 섹션에 저장된 페이로드를 복호화한다. 이후 정상 프로세스에 페이로드가 주입되어 실행되며 주입된 바이너리 코드는 "CobaltStrike" 또는 "BitRAT"로 사용자의 PC를 원격으로 제어한다. ① Blister Loader 파일을 "%AppData%" 경로에 드랍한다. ② 정상 프로그..

잉카인터넷 대응팀은 2021년 12월 24일부터 2021년 12월 30일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Ranzon"외 2건, 변종 랜섬웨어는 "Karma"외 1건이 발견됐다. 2021년 12월 24일 Ranzon 랜섬웨어 파일명을 변경하지 않고 [그림 1]의 랜섬노트를 생성하는 "Ranzon" 랜섬웨어가 발견됐다. 2021년 12월 25일 Karma 랜섬웨어 파일명에 ".KARMA_V2!" 확장자를 추가하고 "KARMA_V2-ENCRYPTED.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어의 변종이 발견됐다. 2021년 12월 26일 LokiLocker 랜섬웨어 파일명에 ".Loki" 확장자를 추가하고 "Restore-My-Files.txt"라는..

최근 자바스크립트로 작성한 "DarkWatchman" 악성코드가 발견됐다. 해당 악성코드는 공격자가 운영하는 C&C 서버에서 명령을 받아 사용자 PC를 조작하며, 키로거 악성코드를 실행해 사용자가 키보드로 입력한 값을 수집 및 공격자에게 전송한다. "DarkWatchman" 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다. 1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다. 2. 사용자가 첨부 파일을 다운로드 한 후, 압축을 해제하면 WinRAR SFX 형태의 압축 파일을 생성한다. 3. 압축 해제 후 생성한 실행 파일을 실행하면 자바스크립트로 작성한 “DarkWatchman” 악성코드를 실행한다. 4. “DarkWatchman” 악성코드는 키로거 파일의..

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..

잉카인터넷 대응팀은 2021년 12월 17일부터 2021년 12월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BlackCat" 외 5건, 변종 랜섬웨어는 "Dharma" 외 1건이 발견됐다. 2021년 12월 17일 BlackCat 랜섬웨어 파일명에 ".7954i9r" 확장자를 추가하고 "RECOVER-7954i9-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 [그림 2]와 같이 바탕화면의 배경을 변경한다. WannaXD 랜섬웨어 파일명에 ".XD-99" 확장자를 추가하고 "Readme.txt"라는 랜섬노트를 생성하는 "WannaXD" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도..