분석 정보874 소프트웨어 설치 파일로 위장한 Sainbox RAT 최근 중국 해킹그룹 Silver Fox가 Gh0st RAT의 변종인 Sainbox RAT 악성코드를 소프트웨어 설치 파일로 위장해 유포하는 캠페인이 발견됐다. 2024년 6월에 등장한 Silver Fox는 의료 소프트웨어 DICOM에 ValleyRAT 페이로드를 심어 의료 시설을 공격했으며 2025년 2월에는 취약한 드라이버를 활용한 BYOVD(Bring-Your-Own-Vulnerable-Driver) 공격을 사용한 정황도 발견됐다. 이번에 발생한 피싱 캠페인에서는 Sainbox RAT을 MSI 파일 형식의 소프트웨어 설치 프로그램으로 위장해 유포하며 실제 소프트웨어 설치를 진행해 사용자를 속이고 백그라운드에서 악성코드를 실행한다. DLL Side-Loading최초 유포 파일인 MSI 파일을 실행하면 .. 2025. 7. 25. 2025년 새로 등장한 NightSpire 랜섬웨어 올해 초에 등장한 NightSpire 랜섬웨어가 제조, 금융 및 의료 기관 등의 다양한 산업군을 대상으로 한 공격에 사용돼 짧은 기간 동안 많은 피해를 입히고 있어 보안업계에서 주목을 받고 있다. 이전에 공개된 공격 사례를 보면 NightSpire 조직은 피싱 이메일이나 웹 방화벽 및 VPN 장비 등 외부로 노출된 시스템의 취약점을 이용해 접근했다. 악용된 취약점은 CVE-2024-55591로 Fortinet사의 방화벽과 VPN 장비에서 웹 소켓 모듈이 수신한 요청 값을 제대로 처리하지 않아 발생하는 권한 상승 취약점이다. 공격 대상 내부로 진입한 이후에는 LOLBin(Living-Off-the-Land Binaries) 기법으로 Powershell과 PsExec 등의 도구를 사용해 내부 네트워크를 탐색.. 2025. 6. 24. Interlock 랜섬웨어, 데이터 유출 주의 최근 전 세계의 의료, 교육 및 방산 등 다양한 분야에서 Interlock 랜섬웨어에 의한 피해 사례가 발견되고 있다. Interlock 랜섬웨어 조직은 2024년 9월 처음 등장해 꾸준히 활동을 이어왔으며 데이터 암호화뿐만 아니라 공격 과정에서 자체 RAT 악성코드인 Interlock RAT와 NodeSnake를 이용해 데이터를 탈취한다. 또한 해당 조직은 탈취한 데이터를 공개한다는 협박과 함께 추가 금전을 요구하는 등 이중 갈취 전술을 사용한다고 전해진다. Interlock 랜섬웨어는 주로 피싱 이메일과 명령어를 복사해 실행하도록 유도하는 ClickFix 등의 사회 공학(Social Engineering) 기법을 이용해 유포되며 파일을 암호화한 후 확장자를 “.interlock”으로 변경하고 각 폴더.. 2025. 6. 20. 텔레그램으로 정보를 탈취하는 PupkinStealer 최근 .NET 기반의 정보 탈취 악성코드 PupkinStealer가 발견됐다. 이 악성코드는 웹 브라우저에 저장된 로그인 정보, 바탕화면 경로의 파일, 디스코드 토큰값 및 텔레그램 세션 데이터 등의 다양한 사용자 정보를 수집한다. 수집한 데이터는 ZIP 아카이브 형태로 압축하고 수집 정보 개수와 수집 성공 여부와 함께 공격자의 텔레그램 봇 주소로 전송한다. PupkinStealer는 난독화나 암호화 또는 자동 실행 등록 등의 기능 없이 동작하도록 설계됐으며 실행 직후 정보 수집 행위를 비동기 작업으로 생성해 정보를 빠르게 수집하고 공격자에게 전송하도록 구성돼 있다. PupkinStealer는 Task.Run 함수를 사용해 정보 수집과 스크린샷 캡처 동작을 비동기로 생성 및 실행하고 작업이 모두 완료되면.. 2025. 5. 30. 지도 앱으로 위장한 Origin 스파이웨어 텔레그램에서 지도 앱 AlpineQuest의 Pro 버전으로 위장해 유포되는 Origin 스파이웨어가 발견됐다. 공격자는 AlpineQuest Pro를 무료로 제공한다는 내용과 함께 악성코드가 삽입된 APK 파일의 다운로드 및 설치를 유도한다. 해당 앱을 실행하면 정상적인 지도 앱과 동일하게 동작하면서 백그라운드에서는 스파이웨어가 연락처, 파일 목록 및 위치 정보 등을 수집한 후 공격자에게 전송한다. 정상 및 악성 앱 비교Origin 스파이웨어는 정상 AlpineQuest Pro 앱에 악성코드를 삽입한 형태로 실제 정상 앱과 동일한 기능 및 서비스를 제공한다. 단, 해당 앱을 실행하면 지도 서비스와 관련된 위치 정보 외에도 연락처 및 근처 디바이스 등에 대한 추가 권한을 요구한다. 정상 앱과 악성 앱의.. 2025. 5. 30. 윈도우 서비스로 위장한 Sagerunex 백도어 최근 동남아시아 지역의 공공 및 국방 기관을 대상으로 Sagerunex 백도어를 유포하는 캠페인이 발견됐다. 해당 백도어는 2012년부터 유포되던 Elise 백도어를 시작으로 기능을 개선 및 추가하는 등 지속적으로 업그레이드해 Evora, Sagerunex 순으로 발전돼 왔다. 또한 여러 공격 사례에서 Sagerunex 백도어의 C&C 서버 연결 방식에 따른 다양한 변종이 발견되고 있다. 캠페인에서 공격자는 정상 서비스인 swprv의 DLL 파일로 위장한 로더 악성코드를 윈도우 폴더에 저장하고 서비스 DLL의 경로가 저장된 레지스트리를 로더의 저장 위치로 수정한다. 이후 공격자가 swprv 서비스를 재시작하거나 시스템을 재부팅해 해당 서비스가 로더의 ServiceMain 함수를 호출하도록 유도하며 로더.. 2025. 5. 20. 이전 1 2 3 4 5 6 ··· 146 다음
