분석 정보877 전 세계적으로 암호화폐를 가로채는 Twizt 악성코드 "Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면.. 2021. 12. 24. [주간 랜섬웨어 동향] - 12월 4주차 잉카인터넷 대응팀은 2021년 12월 17일부터 2021년 12월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BlackCat" 외 5건, 변종 랜섬웨어는 "Dharma" 외 1건이 발견됐다. 2021년 12월 17일 BlackCat 랜섬웨어 파일명에 ".7954i9r" 확장자를 추가하고 "RECOVER-7954i9-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 [그림 2]와 같이 바탕화면의 배경을 변경한다. WannaXD 랜섬웨어 파일명에 ".XD-99" 확장자를 추가하고 "Readme.txt"라는 랜섬노트를 생성하는 "WannaXD" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도.. 2021. 12. 23. [주간 랜섬웨어 동향] - 12월 3주차 잉카인터넷 대응팀은 2021년 12월 10일부터 2021년 12월 16일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "NRCL"외 1건, 변종 랜섬웨어는 "GlobeImposter"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 Log4j에서 발견된 제로데이 취약점을 사용해 “Khonsari” 랜섬웨어를 유포한 이슈가 있었다. 2021년 12월 10일 NRCL 파일명에 ".NRCL" 확장자를 추가하고 "note.txt"라는 랜섬노트를 생성하는 "NRCL" 랜섬웨어가 발견됐다. 2021년 12월 12일 GlobeImposter 파일명에 ".xls" 확장자를 추가하고 "read-me.txt"라는 랜섬노트를 생성하는 "GlobeImposter" 랜섬웨어의 변종이 발견됐다... 2021. 12. 17. Notepad++ 설치 파일로 위장한 StrongPity 악성코드 최근 Notepad++의 설치 파일로 위장한 악성코드가 발견됐다. 해당 악성코드는 사용자 PC에 정상 Notepad++를 설치하고, 사용자가 키보드로 입력한 값을 파일로 저장해 공격자에게 전송한다. 또한, 정상 소프트웨어에 악성코드를 추가하는 방식을 주로 사용하는 StrongPity라는 그룹에서 유포한 것으로 알려졌다. StrongPity 그룹에서 유포한 악성코드는 [그림 1]과 같이 진행한다. 1. Notepad++ 설치 파일로 위장한 파일을 실행하면 지정된 경로에 Notepad++ 설치 파일과 Winpickr.exe 및 ntuis32.exe 파일을 드롭한다. 2. Notepad++ 설치 파일을 실행해 사용자 PC에 정상 프로그램인 Notepad++ v8.1.7을 설치한다. 3. 다음으로, update.. 2021. 12. 17. 금전적 요구를 하는 ScreenLocker 집콕 생활이 연장되면서 스마트폰 사용이 계속해서 증가되는 가운데, 최근 안드로이드 단말기를 대상으로 하는 ScreenLocker 악성코드가 다량 유포되었다. ScreenLocker 악성코드는 화면에 암호 창을 띄워 피해자 단말기의 사용을 방해하고, 금전적인 요구를 한다. 최근 다량 발견된 이 악성 앱은 정상 앱으로 위장하고, 빨간 색의 알림 창을 띄우는 것이 특징이다. ScreenLocker은 아래의 이미지와 같이 Netflix, Instagram, Whatsapp등 많이 사용되는 앱을 위장하여 유포되었다. 앱을 실행하면, 하단 좌측 이미지와 같이 파일 암호를 입력하거나 비트코인을 요구한다. 암호를 입력하면 악성코드는 종료된다. 그 외의 악성 동작은 없으나, 암호를 입력하기 전까지 재부팅하거나 화면을 껐.. 2021. 12. 15. 금전보다 정치적인 공격을 우선시하는 Moses Staff 해킹 그룹 2021년 9월, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다. ▶ 아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다. 2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장 "Moses Staff" 그룹의 악성코드는 2021년 3월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서.. 2021. 12. 14. 이전 1 ··· 20 21 22 23 24 25 26 ··· 147 다음
