잉카인터넷 시큐리티대응센터 블로그

2019년부터 백신 프로그램 탐지 회피 및 다양한 OS 사용자 타겟으로 공격이 가능하다는 이유에서 기존의 프로그래밍 언어가 아닌 GO 언어로 제작된 악성코드가 등장하기 시작했다. 최근에는 점차 GO 언어를 사용해 제작된 악성코드가 증가하고 있다. 2021년 2월경, 자사에서는 GO 언어로 제작된 "Electro RAT" 분석글을 게시하였으며 해당 글의 링크는 아래에 첨부되어 있다. 2021.02.09 - [악성코드 분석] ElectroRAT 악성코드 분석 보고서 최근 GO 언어로 제작된 새로운 악성코드 "Klingon RAT"이 등장했다. "Klingon RAT"은 백신 프로그램 종료를 시도하며 관리자 권한을 획득한다. 최종적으로 해당 악성코드는 C&C 서버를 이용해 정보를 탈취하고, 사용자의 PC를 제..

잉카인터넷 대응팀은 2021년 6월 18일부터 2021년 6월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Mansory" 외 4건, 변종 랜섬웨어는 "Magniber" 외 1건이 발견됐다. 또한, "Lockbit" 랜섬웨어가 더욱 강력해진 새로운 버전 v2.0으로 다시 모습을 나타냈다. 2021년 6월 18일 Mansory 랜섬웨어 파일명에 ".MANSORY" 확장자를 추가하고 "MANSORY-MESSAGE.txt"라는 랜섬노트를 생성하는 "Mansory" 랜섬웨어가 발견됐다. Poteston 랜섬웨어 파일명에 ".poteston" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Poteston" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 ..

"RedLine Stealer" 는 정보탈취형 악성코드로 해커 포럼에서 판매중이며 크랙 버전도 발견되고 있다. 해당 악성코드는 코로나 19 이슈를 악용한 피싱 메일을 통해 처음 등장하였으며 정상 프로그램 위장, 피싱 페이지 등의 방식을 이용하여 유포된 사례가 지속적으로 발견되고 있다. 또한 최근에도 디지털 아티스트들에게 업무를 의뢰한다고 접근하여 "RedLine Stealer" 악성코드를 다운로드하고 실행을 유도한 사례가 발견되었다. 실행된 "RedLine Stealer" 악성코드는 브라우저, FTP 및 게임 프로그램 등 사용자 PC의 다양한 정보를 탈취한다. 최신 유포 사례 "RedLine Stealer" 악성코드는 2020년 3월 경 코로나 19 이슈를 악용한 피싱 메일 유포를 시작으로 피싱 웹 사이..

잉카인터넷 대응팀은 2021년 6월 11일부터 2021년 6월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Slam" 외 3건, 변종 랜섬웨어는 "Nefilim" 외 1건이 발견됐다. 이 중, 류크 랜섬웨어 빌더로 주장하는 악성 빌더가 발견됐고, "Avaddon" 랜섬웨어 운영진이 운영 중단을 위해 복호화 키를 공개했다. 또한, 러시아어를 사용하는 해킹 포럼에 "Paradise" 랜섬웨어의 소스 코드가 공개됐고, 우크라이나 경찰이 "Clop" 랜섬웨어 운영진을 체포한 사건이 있었다. 2021년 6월 11일 Slam 랜섬웨어 파일명에 ".SLAM" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Slam" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실..

최근 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 발견됐다. 빌더의 제작자는 빌더를 사용해 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하지만, 실제로 류크 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다. 지난 6월 11일, 한 악성 빌더 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다. 해당 빌더를 실행하면 [그림 2]의 화면이 나타나며 확장자, 프로세스 이름 변경 및 자동 실행 설정 등의 기능을 조작해 랜섬웨어를 만들 수 있다. [표 1]은 빌더에서 생성한 랜섬웨어와 제작자가 주장하는 류크 랜섬웨어를 비교한 표이며, 파일 암호화 후 변경하는 확장자와 랜섬노트에서는 유사점이 발견되지 않았다. 다음으로, 빌더에서 생성한 랜섬웨어는 류크 랜섬웨어에서 사용하는 A..

최근, 각 국가 별로 코로나 무료 접종이 확대되고 있는 가운데 이를 위장한 악성앱이 발견되어 주의가 필요하다. 해당 앱은 백신 무료 접종에 관한 내용을 이루고 있으나, 백신과 관계없는 앱으로 단말기의 전화번호를 읽어 자기 자신과 같은 파일을 SMS을 통해 전파하거나 광고성 배너를 출력하는 기능만 존재한다. Analysis 코로나로 사칭한 앱은 다음과 같이 단말기에 저장된 연락처에 접근하여 읽거나 SMS를 보내기 위해 권한을 요청한다. 그리고, 획득한 전화번호 중 제일 앞자리에 인도 국가를 나타내는 '91' 이 존재하는지 확인한다. 추가로 인도 지역을 나타내는 번호들을 대상으로 SMS를 전송하는 것을 확인할 수 있다. 인도에서 사용하는 단말기에 한해, 다음의 메시지를 유포한다. 메시지 내용은 아래와 같다...

제로데이 취약점을 사용한 PuzzleMaker 최근 Google Chrome 및 Microsoft Windows의 제로 데이 취약점을 사용한 공격이 등장하였다. 해당 공격은 여러 기업을 타겟으로 하였으며, 아래의 흐름도와 같이 취약점을 통해 사용자 PC에 접근하여 시스템 프로세스에서 악성코드를 실행한다. 공격은 Google Chrome에서 시작된다. Chrome 웹 브라우저의 취약점은 Java Script 엔진인 V8의 유형 혼돈으로 인해 공격자가 만든 HTML 페이지로 샌드 박스 내에서 원격 코드 실행 (RCE)를 실행하는 취약점으로 CVE-2021-21224로 추정되지만, 정확한 스크립트는 발견되지 않았다. 그리고 CVE-2021-31955와 CVE-2021-31956로 지정된 Windows의 취약점..

2014년에 처음 등장한 Gelsemium 사이버 공격 그룹은 정부, 대학교, 전자 제품 제조업체 및 종교 단체 등을 공격했다. 현재는 Gelsemium이 더욱 정교해진 백도어로 업데이트되어 서남아시아 및 동아시아를 주 타겟으로 공격하고 있으며 최근 PC용 안드로이드 에뮬레이터인 NoxPlayer로 위장해 백도어를 유포한 사례가 있다. 보안 기업 ESET에서는 "Gelsemine", "Gelsenicine", "Gelsevirine" 를 사용하여 백신 프로그램 탐지를 우회하고, 관리자 권한을 획득하는 등 더욱 정교해진 새로운 버전의 Gelsemium 백도어가 유포되고 있다고 발표했다. 출처 : https://www.eset.com/ca/about/newsroom/press-releases/eset-res..

최근 “SkinnyBoy”로 불리는 새로운 악성코드가 발견됐다. Clust25가 공개한 보고서에 따르면 해당 악성코드는 러시아에서 활동하는 APT28 조직이 사용자 PC의 정보를 수집하고, 최종 페이로드를 다운로드 받기 위해 사용하는 것으로 알려졌다. 출처 : https://cluster25.io/2021/06/03/a-not-so-fancy-game-apt28-skinnyboy/ 현재, “SkinnyBoy”는 국제 행사 초대와 관련된 내용을 지닌 조작된 문서를 사용해 유포한 것으로 알려졌으며, 실행 흐름은 [그림 1]과 같다. 드롭퍼 (Dropper) “SkinnyBoy” 악성코드를 실행하면 [표 1]과 같이 런처(Launcher)와 다운로더(Downloader) 특징을 지닌 파일을 드롭하고 자가삭제한..

잉카인터넷 대응팀은 2021년 6월 4일부터 2021년 6월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Mcburglar" 외 2건, 변종 랜섬웨어는 "Dharma" 외 6건이 발견됐다. 또한, "PayloadBIN" 랜섬웨어 조직은 "BabukLocker" 랜섬웨어의 변종으로 기존의 데이터 유출 사이트를 중단하고, "Payload.bin"이라는 데이터 유출 사이트를 개설했다. 2021년 6월 4일 Dharma 랜섬웨어 파일명에 ".[사용자 ID].[공격자 메일].cnc" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. Mcburglar 랜섬웨어 파일명에 ".mcburg..