분석 정보877 BQTLock 랜섬웨어 변종 발견 올해 7월에 새로 등장한 BQTLock 랜섬웨어의 변종이 추가로 발견됐다. 외신 보도에 따르면 해당 랜섬웨어는 친팔레스타인 해커 그룹으로 알려진 Liwaa Mohammed와 관련있으며 ZerodayX라는 공격자가 제작한 것으로 전해진다. 공격자는 자신이 운영하는 X 계정에 공격 기업 정보와 보안 업체 분석 보고서를 게시하고 이어서 BQTLock 랜섬웨어의 리눅스 버전과 유출된 자료를 검색할 수 있는 BAQIYAT.osint 도구 공개도 예고했다. BQTLock 랜섬웨어의 변종에는 안티디버깅과 정보 탈취 및 UAC 우회 기능이 추가됐으며 이 외에는 기존 버전과 동일하게 오픈 소스 기반 OpenSSL 라이브러리로 파일 암호화를 수행하고 보안 프로그램 관련 프로세스를 종료한다. 또한 Explorer.exe를.. 2025. 9. 19. Github에 공개된 CyberEye RAT 빌더 최근 Github에 CyberEye RAT을 제작하는 빌더가 공개됐다. 빌더 제작자는 교육적인 목적으로 공개했으며 본 의도와 다르게 사용될 시 모든 행위 및 손해에 대해 책임지지 않는다고 공지했다. 하지만 사용자 친화적인 GUI 환경의 빌더로 보다 손쉽게 악용될 수 있으며 윈도우 디펜더 비활성화와 부트 섹터 변조 등의 시스템에 큰 영향을 끼칠 수 있는 기능이 존재해 자사 및 타 보안 업체에서 악성코드로 분류하고 있다. 현재 공개된 빌더 버전은 v.1.0.1이며 텔레그램 연결 테스트와 파일 생성 로그 출력 기능이 추가됐다. 빌더로 생성한 CyberEye RAT은 설정된 옵션에 따라 관리자 권한 실행, 안티 VM 및 클립보드 하이재킹 등의 동작을 수행한다. 그리고 텔레그램 봇 토큰값과 ChatID를 이용해 .. 2025. 8. 29. Gunra 랜섬웨어, Conti의 새로운 변종 등장 최근 국내 기업을 대상으로 Gunra 랜섬웨어가 유포돼 서비스가 일시적으로 중단된 사건이 발생했다. 언론에 따르면 공격자는 SSL-VPN 장비의 SSH 서비스 포트에 대한 무차별 대입 공격으로 내부에 침입해 랜섬웨어를 실행한 것으로 전해진다. 해당 공격에 사용된 Gunra는 Conti 랜섬웨어의 변종으로 올해 4월에 처음 등장해 주로 의료, 제조 및 IT 등 다양한 분야를 대상으로 삼았으며 5월에는 두바이의 한 병원에서 환자 데이터를 유출한 정황이 발견됐다. 또한 Gunra가 등장한 초기에는 Windows 버전만 존재했으나 이후 Linux 버전의 변종을 추가하면서 공격 대상을 확장했고 피해 대상과 유출된 데이터의 게시 및 협상을 목적으로 유출 사이트를 운영하고 있다. Gunra 랜섬웨어는 감염된 시스템의.. 2025. 8. 19. 소프트웨어 설치 파일로 위장한 Sainbox RAT 최근 중국 해킹그룹 Silver Fox가 Gh0st RAT의 변종인 Sainbox RAT 악성코드를 소프트웨어 설치 파일로 위장해 유포하는 캠페인이 발견됐다. 2024년 6월에 등장한 Silver Fox는 의료 소프트웨어 DICOM에 ValleyRAT 페이로드를 심어 의료 시설을 공격했으며 2025년 2월에는 취약한 드라이버를 활용한 BYOVD(Bring-Your-Own-Vulnerable-Driver) 공격을 사용한 정황도 발견됐다. 이번에 발생한 피싱 캠페인에서는 Sainbox RAT을 MSI 파일 형식의 소프트웨어 설치 프로그램으로 위장해 유포하며 실제 소프트웨어 설치를 진행해 사용자를 속이고 백그라운드에서 악성코드를 실행한다. DLL Side-Loading최초 유포 파일인 MSI 파일을 실행하면 .. 2025. 7. 25. 2025년 새로 등장한 NightSpire 랜섬웨어 올해 초에 등장한 NightSpire 랜섬웨어가 제조, 금융 및 의료 기관 등의 다양한 산업군을 대상으로 한 공격에 사용돼 짧은 기간 동안 많은 피해를 입히고 있어 보안업계에서 주목을 받고 있다. 이전에 공개된 공격 사례를 보면 NightSpire 조직은 피싱 이메일이나 웹 방화벽 및 VPN 장비 등 외부로 노출된 시스템의 취약점을 이용해 접근했다. 악용된 취약점은 CVE-2024-55591로 Fortinet사의 방화벽과 VPN 장비에서 웹 소켓 모듈이 수신한 요청 값을 제대로 처리하지 않아 발생하는 권한 상승 취약점이다. 공격 대상 내부로 진입한 이후에는 LOLBin(Living-Off-the-Land Binaries) 기법으로 Powershell과 PsExec 등의 도구를 사용해 내부 네트워크를 탐색.. 2025. 6. 24. Interlock 랜섬웨어, 데이터 유출 주의 최근 전 세계의 의료, 교육 및 방산 등 다양한 분야에서 Interlock 랜섬웨어에 의한 피해 사례가 발견되고 있다. Interlock 랜섬웨어 조직은 2024년 9월 처음 등장해 꾸준히 활동을 이어왔으며 데이터 암호화뿐만 아니라 공격 과정에서 자체 RAT 악성코드인 Interlock RAT와 NodeSnake를 이용해 데이터를 탈취한다. 또한 해당 조직은 탈취한 데이터를 공개한다는 협박과 함께 추가 금전을 요구하는 등 이중 갈취 전술을 사용한다고 전해진다. Interlock 랜섬웨어는 주로 피싱 이메일과 명령어를 복사해 실행하도록 유도하는 ClickFix 등의 사회 공학(Social Engineering) 기법을 이용해 유포되며 파일을 암호화한 후 확장자를 “.interlock”으로 변경하고 각 폴더.. 2025. 6. 20. 이전 1 2 3 4 5 6 ··· 147 다음
