분석 정보884 JSSLoader 변종 발견 시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다. [표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다. 다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 .. 2021. 7. 13. [주간 랜섬웨어 동향] – 7월 1주차 잉카인터넷 대응팀은 2021년 7월 02일부터 2021년 7월 08일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 외 5건, 변종 랜섬웨어는 "Sodinokibi" 외 1건이 발견됐다. 이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 “Chaos”로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다. 2021년 7월 2일 Sodinokibi 랜섬웨어 "Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에.. 2021. 7. 9. [주간 랜섬웨어 동향] – 6월 5주차 잉카인터넷 대응팀은 2021년 6월 25일부터 2021년 7월 1일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Spyro” 외 6건, 변종 랜섬웨어는 “WannaCry” 외 2건이 발견됐다. 또한, “Sodinokibi” 랜섬웨어가 NAS 환경에서 실행 가능하도록 제작한 리눅스 버전의 변종이 발견됐다. 2021년 6월 25일 Spyro 랜섬웨어 파일명에 “.[공격자 메일][사용자 ID].Spyro” 확장자를 추가하는 “Spyro” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템복원을 무력화한다. Mishmash 랜섬웨어 파일명을 “.txt” 확장자로 변경하고 [그림 1]의 랜섬노트를 생성하는 “Mishmash” 랜섬웨어가 발견됐다. Poliex 랜섬웨어 파일명에 “.Po.. 2021. 7. 2. TeamViewer를 이용하여 원격 조종하는 Hydra 많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다. 접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. .. 2021. 7. 2. Chrome 사칭 악성 앱 주의 스마트폰의 운영체제와 상관없이 많은 스마트폰의 사용자들은 다양한 정보를 검색하거나 필요한 자료를 얻기 위해 브라우저를 많이 사용한다. 이 브라우저 가운데 가장 많이 사용하는 브라우저로 손꼽히는 Chrome 앱을 사칭하는 악성앱이 등장하여 주의가 필요하다. Analysis Chrome 을 사칭한 악성앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 이는 접근성 서비스기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. Chrome 아이콘을 사칭한 해당 악성앱의 주요 동작은 C&C서버와 통신하며, 명령을 받아 단말기 내 사용자 정보를 탈취하거나 추가 악성 동작을 수행한다. 탈취 대상이 되는 파일은 전화번호 목록, 설치 된 앱 목록, 미디어 파일, 키로거 파일 등이 있으며 .. 2021. 7. 1. LastConn 악성코드를 유포하는 Molerats 해커 그룹 최근 "Molerats" 해커 그룹의 소행으로 추정되는 피싱 메일 공격이 발견되었다. 해당 해커 그룹은 TA402, Gaza Hacker Team, Gaza Cybergang 등의 이름으로도 불리우며, 2020년도에는 악성 PDF 파일을 통해 "SharpStage" 등의 악성코드를 유포한 것으로 알려졌다. 이번에 발견된 피싱 메일은 중동의 정부 기관을 대상으로 유포되었으며, 메일에는 가자 지구 분쟁과 같은 중동의 지정학적 문제와 관련된 내용과 함께 악성 PDF 파일이 첨부되었다. 악성 PDF 파일에는 파일을 다운로드 할 수 있는 링크가 포함되어 있으며, 이를 통해 정상 문서 파일처럼 위장한 "LastConn" 악성코드를 다운로드 후 실행하도록 유도한다. "LastConn" 악성코드는 "SharpStage.. 2021. 6. 28. 이전 1 ··· 33 34 35 36 37 38 39 ··· 148 다음
