잉카인터넷 시큐리티대응센터 블로그

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시..

최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에..

잉카인터넷 대응팀은 2021년 11월 12일부터 2021년 11월 18일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BloodFox"외 2건, 변종 랜섬웨어는 "Lorenz"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Magniber" 랜섬웨어 측이 인터넷 익스플로러 등에서 발견된 취약점을 악용한 정황이 발견된 이슈가 있었다. 2021년 11월 12일 Enc 랜섬웨어 파일명에 ".encoded01" 확장자를 추가하고 "BackFiles-encoded01.txt"라는 랜섬노트를 생성하는 "Enc" 랜섬웨어가 발견됐다. BloodFox 랜섬웨어 확장자를 변경하지 않고 [그림 2]의 랜섬노트를 생성하는 "BloodFox" 랜섬웨어가 발견됐다. Magniber 랜섬웨..

최근 PhoneSpy 원격제어 악성 앱이 새롭게 등장하였다. 해당 앱은 요가 교육 앱, 사진 정리 앱과 같이 라이프스타일 앱을 사칭하였으며, 소셜 네트워크나 악성 웹 사이트 리디렉션 등의 방식으로 유포된 것으로 추정된다. 만일 사용자가 정상 앱으로 착각하여 PhoneSpy 앱을 실행하면, 수신 및 발신되는 연락처, 문자 메시지 등 각종 정보가 탈취된다. 그리고 원격지에서 명령을 받아와 카메라 사진 및 동영상 촬영의 동작도 수행할 수 있다. 다음은 "Daily Yoga" 이름으로 유포된 PhoneSpy 앱으로 실행하면 각종 권한을 요구한다. 단말기에서 최초로 실행할 때, 아이콘을 숨김 모드로 설정을 한다. 이는 홈 화면에서 해당 앱이 보이지 않기 때문에 사용자가 눈치채지 못한 상태에서 지속성을 유지할 수 ..

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다. 아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다. "FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하..

잉카인터넷 대응팀은 2021년 11월 5일부터 2021년 11월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "PencilCry" 외 3건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 미국 당국이 REvil 랜섬웨어 공격의 배후인 우크라이나인을 체포한 사실을 밝혔다. 2021년 11월 5일 PencilCry 랜섬웨어 암호화를 하지 않고, [그림 1]의 랜섬노트를 실행하는 "PencilCry" 랜섬웨어가 발견됐다. Thanos 랜섬웨어 파일명에 ".stepik" 확장자를 추가하고 "RESTORE_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행..

LuoYu 해킹 그룹은 2014년에 처음 등장하여 2017년도 까지는 한국을 포함해 중국, 홍콩, 일본, 대만 등 동아시아 지역의 IT 산업을 대상으로 공격을 시도했다. 하지만 2017년도부터 IT 기업뿐만 아니라 교육 서비스 직종 및 미디어 기업과 같은 업종을 공격 대상에 포함시켰다. 해당 해킹 그룹은 Mac, Linux, Windows 및 Android 시스템을 대상으로 하며 "WinDealer" 뿐만 아니라 "ReverseWindow", "SpyDealer"과 같은 악성코드도 함께 사용한다. "WinDealer" 악성코드는 특정 폴더에 존재하는 데이터 파일들을 이용하여 공격자의 C&C 서버 정보 및 공격자가 필요로 하는 특정 정보를 읽어온다. 최종적으로 "WinDealer" 악성코드 내부에 하드코딩..

잉카인터넷 대응팀은 2021년 10월 29일부터 2021년 11월 04일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "CryptoCrazy"외 2건, 변종 랜섬웨어는 "BlackMatter"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 FBI에서 “HelloKitty” 랜섬웨어를 주의할 것을 권고했고, “BlackMatter” 랜섬웨어가 활동 중단을 선언한 이슈가 있었다. 2021년 10월 29일 BlackMatter 랜섬웨어 파일명을 “[랜덤 문자열].[랜덤 문자열]"로 변경하고 “[랜덤 문자열].README.txt”라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 공격자의 C&C 서버와 연결을..

최근 정상 프로그램으로 위장해 사용자의 정보를 탈취하는 악성코드가 발견됐다. 해당 악성코드는 다수의 계정에 로그인할 수 있도록 지원하는 Multilogin 프로그램으로 위장해 사용자의 다운로드를 유도하며, 사용자 PC에 정보 탈취를 위한 악성코드를 설치한다. “MultiStealer” 악성코드의 유포 및 실행되는 과정은 [그림 1]과 같다. 1. 공격자는 사용자가 악의적으로 제작된 피싱 사이트에 접속해 Multilogin 설치 프로그램으로 위장한 악성코드를 다운로드하도록 유도한다. 2. 사용자가 피싱 사이트에서 다운로드한 파일을 실행하면 “MultiStealer” 악성코드를 사용자 PC에 설치 및 실행한다. 3. 해당 악성코드는 사용자 PC에서 브라우저 로그인 정보 등의 주요 정보를 수집한 후 공격자가 ..

잉카인터넷 대응팀은 2021년 10월 22일부터 2021년 10월 28일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Bronya" 외 1건, 변종 랜섬웨어는 "Stop" 외 5건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 보안 업체가 AtomSilo 및 LockFile 랜섬웨어의 무료 복호화 툴을 공개했다. 2021년 10월 22일 Stop 랜섬웨어 파일명에 ".zaps"로 변경하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다. Bronya 랜섬웨어 암호화를 하지 않고, [그림 1]의 랜섬노트를 실행하는 "Bronya" 랜섬웨어가 발견됐다. 2021년 10월 23일 Th..