분석 정보877 멀티 쓰레드 통신 방법으로 암호화하는 BlueSky 랜섬웨어 최근 “BlueSky” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 “Conti”, “Babuk” 랜섬웨어와 유사한 암호화 루틴을 갖고있다. 또한, 주로 윈도우 호스트를 대상으로 하여 더 빠른 암호화를 위해 멀티 쓰레딩 기법을 사용하는 특징이 있다. (멀티 쓰레딩 : 다량의 쓰레드를 생성해 각자 역할을 할당하고, 동시 다발적으로 동작을 수행하여 효과적이고 빠른 암호화를 수행할 수 있다.) “BlueSky” 랜섬웨어는 사용자 PC에 적용된 모든 드라이브 대상으로 암호화를 수행하고, 랜섬노트를 드랍한다. 랜섬노트에는 암호화된 파일을 빌미로 금전을 요구한다. Analysis “BlueSky” 랜섬웨어는 실행 시, 32바이트의 랜덤 값으로 이루어진 이름의 뮤텍스를 생성한다. 이후, 해당 32바이트의 랜덤 값으로.. 2022. 10. 5. BlackBasta 랜섬웨어 리눅스 버전 Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상.. 2022. 9. 30. 베트남 은행 위장 악성 앱 유포 최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다.. 2022. 9. 23. VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드 최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M.. 2022. 9. 21. 인도 은행 사칭 악성 앱 유포 인도의 은행 및 금융 서비스 회사인 Axis Bank를 사칭한 악성 앱이 유포되었다. 해당 앱은 Axis Bank의 정상 웹사이트와 유사한 모습의 사이트에서 유포되었으며, 앱을 실행하면, 문자메시지 정보 및 사용자가 입력한 정보를 탈취한다. 좌측 하단의 그림이 정상 웹사이트이며, 우측 하단의 그림이 악성 앱을 유포하는 사칭 웹사이트이다. 아래의 그림과 같이, 악성 웹사이트는 웹브라우저에서 앱을 다운로드한다. 정상적인 앱의 경우, Google Play 나 Appstore과 같은 정식 앱 스토어에서 구매하도록 유도한다. 설치된 악성 앱을 실행하면 다음과 같은 화면이 나오고, 사용자가 해당 정보를 입력하면 입력한 정보를 획득하여 원격지로 전송한다. 해당 악성 앱은 정상 은행 앱을 위장하여, 유포되었으며, 카드.. 2022. 9. 6. 책으로 위장한 악성 앱 유포 최근 전쟁 등의 이유로 국가적 대립이 심화되면서, 이와 관련된 악성 앱이 등장하였다. 해당 앱은 `The China Freedom Trap`이라는 책으로 위장하였으며, 이 책은 위구르 회의 회장인 `Dolkun Isa`의 저서로 위구르 정치인으로 일한 경험과 중국에 대한 이야기를 담고 있다. 악성 앱은 아래의 이미지와 같이 해당 책을 소개하는 듯한 내용을 담고 있지만, 녹취 및 정보 탈취, 원격제어 등의 악성 동작을 수행한다. 단말기에 새로운 발신 전화가 발생하면, 음성 통화의 소스를 DB에 저장한다. 그리고 수신 전화가 발생하면, 단말기의 마이크에 수집되는 정보를 저장한다. 원격지와 통신하여 명령을 받으면, SMS 메시지 정보, 단말기 정보 등을 탈취할 수 있다. 그 외에도 카메라에 접근하여 사용자 몰.. 2022. 9. 6. 이전 1 ··· 11 12 13 14 15 16 17 ··· 147 다음
