분석 정보874 [주간 랜섬웨어 동향] - 12월 1주차 잉카인터넷 대응팀은 2021년 11월 26일부터 2021년 12월 02일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Rook"외 3건, 변종 랜섬웨어는 "Karma"외 1건이 발견됐다. 2021년 11월 27일 Karma 랜섬웨어 파일명에 ".KARMANKA" 확장자를 추가하고 "KARMANKA-CYPHEREDDD.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 [그림 1]과 같이 바탕화면 배경을 변경한다. 2021년 11월 28일 TOHNICHI 랜섬웨어 파일명에 ".brg" 확장자를 추가하고 "How to decrypt files.txt"라는 랜섬노트를 생성하는 "TOHNICHI" 랜섬웨어의 변종이 발견됐다. 2021년 .. 2021. 12. 3. 원격제어 악성 앱, ExpndBot 최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 .. 2021. 12. 3. SharkBot 악성 앱 주의 2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 .. 2021. 11. 30. [주간 랜섬웨어 동향] – 11월 4주차 잉카인터넷 대응팀은 2021년 11월 19일부터 2021년 11월 25일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BoomBye" 외 2건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 2021년 11월 19일 BoomBye 랜섬웨어 파일명에 ".boombye" 확장자를 추가하고 "_read_me_bro.txt"라는 랜섬노트를 생성하는 "boombye" 랜섬웨어가 발견됐다. 2021년 11월 21일 FileDecrypt 랜섬웨어 파일명에 ".file.decrypt" 확장자를 추가하고 "#File.decrypt#.txt"라는 랜섬노트를 생성하는 "FileDecrypt" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 11월 24일 .. 2021. 11. 26. 다크웹에서 판매중인 Spectre RAT 악성코드 2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시.. 2021. 11. 26. HCrypt 변종을 사용하는 Water Basilisk 캠페인 최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에.. 2021. 11. 24. 이전 1 ··· 21 22 23 24 25 26 27 ··· 146 다음
