잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 3월 5일부터 2021년 3월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 외 6건, 변종 랜섬웨어는 “Makop” 외 5건이 발견됐다. 이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법”에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다. 2021년 3월 5일 Hog 랜섬웨어 “Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다. 2021.03.17 - [최신 보..

최근 국정원 사이버안보센터에서 국내 금융기관을 사칭한 악성 앱으로 인해 약 4만 대의 기기가 해킹된 사건을 발표했다. 보도된 악성 앱은 피해자의 스마트폰 정보를 탈취하고 통화, 문자 내역을 가로채는 등의 동작을 보였다. 해당 보도 이후에도 이와 유사하게 국내 금융기관 케이뱅크를 사칭한 안드로이드 기반 악성 앱이 발견되어 주의가 필요하다. 악성 동작 먼저 악성 앱은 현재 실행 환경의 통신 사업자 정보를 읽고 특정 문자열과 비교하여 가상 환경 여부를 확인한다. 가상 환경이면 악성 행위 없이 종료하여 동적 분석을 방해한다. 실행 시 가장 먼저 보이는 화면은 [그림 1] 과 같이 케이뱅크를 사칭한 이미지이다. 이미지 하단의 신용 대출 목록을 클릭하면 [그림 3] 과 같은 사용자 정보 입력 화면이 출력된다. 사용..

Sarbloh 랜섬웨어 분석 보고서 최근 “2020년 인도 농업법”에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면 “칼사의 사이버 부대” 라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다. “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarblo..

Covid-19 바이러스 확산으로 인한 사회적 거리 두기가 장기화 되면서 소개팅도 비대면으로 진행되는 시대가 왔다. 이에 온라인 데이팅 앱과 사용자가 크게 증가하였는데, 최근 국내의 한 언론사에서 “위피, 정오의 데이트, 아만다, 너랑나랑 소개팅, 돛단배, 빠른톡 등 국내 유명 데이팅 앱들이 이용자에게 제대로 알리지 않고 대화 내용을 수집해 왔다”고 알렸다. (관련기사 : http://news.kmib.co.kr/article/view.asp?arcid=0015606305&code=61121111&cp=nv) 대부분의 데이팅 앱은 알맞은 대화 상대를 매칭하기 위해 사용자의 다양한 개인 정보를 수집하게 되는데, 일부 앱에서 이때 수집되는 정보에 대해 명확하게 고지하지 않거나 필요 이상의 정보를 수집하는 것..

"HelloKitty" 랜섬웨어는 자사 블로그에 Hyper-V 사용자를 공격하는 신종 랜섬웨어 이슈와 CD PROJEKT RED 피해 이슈로 인해 분석돼 게시된 바 있다. 최근 해당 랜섬웨어의 추가 조사 결과, 기존에 게시된 이슈 외의 피해사례와 관련 샘플을 획득했고 랜섬노트 상단에 공격 대상으로 지정한 기업을 명시한다는 특징을 발견했다. 랜섬노트 지난 2월, 비디오 게임 업체인 CD PROJEKT RED가 “HelloKitty” 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 기업은 사이버 공격을 당한 직후, 공식 트위터를 통해 랜섬웨어 공격을 받았다는 사실을 알리고, 감염된 PC에서 발견된 랜섬노트를 공개했다. 이들이 공개한 랜섬노트는 피해 기업명인 CD PROJEKT로 시작하며 Cyberpunk ..

개요 보안 회사 Trend Micro 社 에서 10억 회 이상 다운로드된 인기 모바일 애플리케이션 SHAREit 에 대한 보안 취약점을 발표했다. 공격자는 해당 취약점을 악용하여 민감한 정보를 탈취하거나 임의 코드를 실행할 수 있다. 취약점 정보 SHAREit 은 특정 인텐트를 받아 액티비티를 실행하는 브로드캐스트 리시버가 존재한다. 공격자가 해당 브로드캐스트 리시버를 악용하면 SHAREit 을 통해 타 애플리케이션의 임의의 액티비티를 실행할 수 있다. SHAREit 은 http/https 프로토콜을 사용하고, 도메인이 "*.wshareit.com" 또는 "gshare.cdn.shareitgames.com" 인 딥 링크 URL 을 통해 파일 다운로드가 가능하다. 또한 ".sapk" 확장자 파일에 대한 설..

Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans, RAT) 악성코드로, 2019년 8월경 “Cisco Talos”에서 “소비자 보호 단체 BBB(Better Business Bureau)”를 사칭한 피싱 이메일의 첨부 파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸다. (출처: https://blog.talosintelligence.com/2019/08/rat-ratatouille-revrat-orcus.html) 또한 2019년 12월경, 캐나다 라디오·TV 전기통신위원회 CRTC(Canadian Radio-television and Telecommunication Commission)에서 Orcus RAT 악성코드 제작자..

지난 11월 처음 발견된 “HelloKitty” 랜섬웨어에 의한 피해 사례가 꾸준히 발견되고 있으며, 최근에는 비디오 게임 개발 업체인 CD PROJEKT RED를 공격한 정황이 포착됐다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 감염된 시스템에 남겨진 랜섬노트에 따르면 “HelloKitty” 랜섬웨어 운영진들이 해당 기업에서 정보를 탈취했다고 알려졌다. 해당 사건이 발생한 후, 피해 업체는 공식 트위터에 사이버 공격을 당했고 이로 인한 몸값 지불 및 협상을 하지 않겠다는 내용을 게시했다. “HelloKitty”에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다. 하지만, 이번 CD PROJEKT RED 공..

최근 “BleachGap” 랜섬웨어가 발견되었다. ‘BleachGap’ 랜섬웨어는 %USERPROFILE% 경로를 대상으로 암호화 하고, 볼륨 섀도우 복사본 삭제를 통해 PC 복구가 불가능하도록 하며 마우스 버튼 좌우 반전 및 자주 사용하는 키보드 버튼을 비활성화 하여 사용자를 당혹스럽게 한다. 또한, 랜섬머니 지불 기간을 5일로 제한해 기한이 지나면 부팅을 불가능하게 만든다. “BleachGap” 랜섬웨어를 실행하면 전반적인 랜섬웨어 동작을 담당하는 배치 파일을 드랍한다. 해당 배치 파일은 ‘%USERPROFILE%’ 폴더 및 하위 폴더의 모든 파일을 암호화하며 암호화된 파일의 확장자를 “.lck” 로 변경하고, 감염된 사용자가 시스템을 복원할 수 없도록 볼륨 섀도우 복사본을 삭제한다. 또한, 레지스트..

지난 2016년도부터 꾸준히 모습을 나타낸 Xorist 랜섬웨어가 또 다른 변종으로 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 달리 메시지 창을 띄워 감염사실을 알리는 특이한 모습으로, 특정 확장자에 대하여 파일 감염 동작을 수행한다. 그리고 사용자가 감염된 파일을 실행할 때 오류 메시지 창을 띄워 랜섬노트의 내용과 함께 금전적인 요구를 하기에 주의가 필요하다. Xorist 랜섬웨어의 악성동작이 수행되면, 아래의 이미지와 같이 오류 메시지 창을 띄운다. 위의 메시지 창과 함께 모든 디렉토리 아래에 동일한 내용의 랜섬노트도 생성한다. 해당 랜섬웨어는 사용중인 모든 드라이브를 대상으로 다음의 확장자를 대상으로 암호화 동작을 수행한다. 감염 동작이 수행되면 파일 유형은 “CRYPTED!”로 변경되며, 파..