분석 정보874 Dropbox를 악용하는 악성코드 웹 기반의 파일 공유 서비스인 "Dropbox"의 기능을 악용한 악성코드 공격 사례가 발견되고 있다. "Dropbox"는 편리한 파일 공유를 지원하기 위해 "Dropbox API" 라는 기능을 제공한다. "Dropbox API"는 엑세스 토큰을 통해 인증을 거쳐 사용자의 계정과 연결할 수 있으며 텍스트 검색, 파일 업로드 및 다운로드 등의 작업을 지원한다. 그러나 최근 유포된 악성코드에서 해당 기능을 악용한 것이 발견되었으며, 실행된 악성코드는 공격자가 미리 설정한 “Dropbox” 계정과 통신하여 파일 다운로드, 정보 탈취 등의 악성행위를 수행하였다. BoxCaon 악성코드 유포 사례 4월 경, "IndigoZebra" 라고 알려진 해커 그룹이 아프가니스탄 정부 직원으로 가장하여 국가 안보 위원회 (N.. 2021. 7. 15. 시스템 복원 컴퓨터를 사용하던 중 악성코드에 감염되거나 실수로 시스템 파일을 삭제하는 경우, 예상하지 못한 오류나 문제로 인해 정상적으로 컴퓨터 사용이 어려울 수 있다. 이때 Microsoft Windows 에서 제공하는 "시스템 복원" 기능을 사용하여 시스템 설정을 복구 할 수 있다. 시스템 복원이란? "시스템 복원"은 소프트웨어 및 복구를 위해 Microsoft Windows에서 제공하는 도구로, 사용자는 "시스템 복원" 을 통해 시스템 파일, 레지스트리 등 시스템 설정을 이전 상태로 되돌릴 수 있다. 시스템 보호 설정 방법 "시스템 복원"을 사용하기 위해서는 “시스템 보호”와 “복원 지점”을 설정해야 한다. "시스템 보호"를 설정하기 위해서는 "시작 → 제어판 → 시스템 및 보안 → 시스템 → 시스템 보호" 순.. 2021. 7. 15. JSSLoader 변종 발견 시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다. [표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다. 다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 .. 2021. 7. 13. [주간 랜섬웨어 동향] – 7월 1주차 잉카인터넷 대응팀은 2021년 7월 02일부터 2021년 7월 08일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 외 5건, 변종 랜섬웨어는 "Sodinokibi" 외 1건이 발견됐다. 이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 “Chaos”로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다. 2021년 7월 2일 Sodinokibi 랜섬웨어 "Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에.. 2021. 7. 9. [주간 랜섬웨어 동향] – 6월 5주차 잉카인터넷 대응팀은 2021년 6월 25일부터 2021년 7월 1일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Spyro” 외 6건, 변종 랜섬웨어는 “WannaCry” 외 2건이 발견됐다. 또한, “Sodinokibi” 랜섬웨어가 NAS 환경에서 실행 가능하도록 제작한 리눅스 버전의 변종이 발견됐다. 2021년 6월 25일 Spyro 랜섬웨어 파일명에 “.[공격자 메일][사용자 ID].Spyro” 확장자를 추가하는 “Spyro” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템복원을 무력화한다. Mishmash 랜섬웨어 파일명을 “.txt” 확장자로 변경하고 [그림 1]의 랜섬노트를 생성하는 “Mishmash” 랜섬웨어가 발견됐다. Poliex 랜섬웨어 파일명에 “.Po.. 2021. 7. 2. TeamViewer를 이용하여 원격 조종하는 Hydra 많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다. 접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. .. 2021. 7. 2. 이전 1 ··· 31 32 33 34 35 36 37 ··· 146 다음
