잉카인터넷 시큐리티대응센터 블로그

FBI가 2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다. (사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf) 이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 “도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고”라는 주제를 파일 명으로 사용했다. 파일 명 : [至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다. 사용자 PC에서 이뤄지는 삭제 명령은 ‘사용자 폴더’ 하위의 모든 파일 및 폴더 중 [표 1]의 확장자를 지닌 파일을 대..

잉카인터넷 대응팀은 2021년 7월 16일부터 2021년 7월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "MiniWorld" 외 4건, 변종 랜섬웨어는 "Dharma" 외 3건이 발견됐다. 또한, VMware의 ESXi 플랫폼을 대상으로 공격하는 "HelloKitty" 랜섬웨어의 변종이 등장했다. 2021년 7월 16일 Dharma 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].DLL" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. Stop 랜섬웨어 파일명에 ".zzla" 확장자를 추가하고 "_readme.txt"라는 랜섬노트..

2018년에 처음 발견된 "Crackonosh" 악성코드가 최근 불법 게임 크랙판과 함께 유포되고 있다. "Crackonosh" 랜섬웨어는 PC의 안전 모드에서 실행되는 특징이 있으며 최종 페이로드인 "XMRig" 코인마이너를 이용해 사용자의 PC에서 불법적으로 모네로 암호화폐를 채굴한다. 또한, 드랍된 파일들을 이용하여 백신 프로그램을 삭제를 시도하거나 공격자의 C&C 서버에 연결을 시도한다. 1. 파일 드랍 게임 크랙 버전 설치 파일 "Crackonosh” 악성코드는 게임의 크랙 설치 파일로 유포되며 실행하면 서로 다른 동작을 수행하는 파일을 드랍한다. 2. 암호화폐 채굴 및 백신 프로그램 삭제 시도 Maintenance.vbs "Maintenance.vbs"는 커맨드를 통해 안전 모드에서 "serv..

최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다. 하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다. 위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다. Access Token을 통해 권한을 획득하였기에 ..

최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원..

잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다. 2021년 7월 9일 Artis 랜섬웨어 파일명에 “.artis” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Artis” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. CovidLocker 랜섬웨어 파일명에 “.covid” 확장자를 추가하고 “How_To_Recover.mht”라는 랜섬노트를 생성하는 “CovidLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 7월 10일 InH..

웹 기반의 파일 공유 서비스인 "Dropbox"의 기능을 악용한 악성코드 공격 사례가 발견되고 있다. "Dropbox"는 편리한 파일 공유를 지원하기 위해 "Dropbox API" 라는 기능을 제공한다. "Dropbox API"는 엑세스 토큰을 통해 인증을 거쳐 사용자의 계정과 연결할 수 있으며 텍스트 검색, 파일 업로드 및 다운로드 등의 작업을 지원한다. 그러나 최근 유포된 악성코드에서 해당 기능을 악용한 것이 발견되었으며, 실행된 악성코드는 공격자가 미리 설정한 “Dropbox” 계정과 통신하여 파일 다운로드, 정보 탈취 등의 악성행위를 수행하였다. BoxCaon 악성코드 유포 사례 4월 경, "IndigoZebra" 라고 알려진 해커 그룹이 아프가니스탄 정부 직원으로 가장하여 국가 안보 위원회 (N..

컴퓨터를 사용하던 중 악성코드에 감염되거나 실수로 시스템 파일을 삭제하는 경우, 예상하지 못한 오류나 문제로 인해 정상적으로 컴퓨터 사용이 어려울 수 있다. 이때 Microsoft Windows 에서 제공하는 "시스템 복원" 기능을 사용하여 시스템 설정을 복구 할 수 있다. 시스템 복원이란? "시스템 복원"은 소프트웨어 및 복구를 위해 Microsoft Windows에서 제공하는 도구로, 사용자는 "시스템 복원" 을 통해 시스템 파일, 레지스트리 등 시스템 설정을 이전 상태로 되돌릴 수 있다. 시스템 보호 설정 방법 "시스템 복원"을 사용하기 위해서는 “시스템 보호”와 “복원 지점”을 설정해야 한다. "시스템 보호"를 설정하기 위해서는 "시작 → 제어판 → 시스템 및 보안 → 시스템 → 시스템 보호" 순..

시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다. [표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다. 다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 ..

잉카인터넷 대응팀은 2021년 7월 02일부터 2021년 7월 08일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 외 5건, 변종 랜섬웨어는 "Sodinokibi" 외 1건이 발견됐다. 이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 “Chaos”로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다. 2021년 7월 2일 Sodinokibi 랜섬웨어 "Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에..