분석 정보874 웜 기능이 추가된 MountLocker 랜섬웨어 최근 웜 기능을 추가한 “MountLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 액티브 디렉터리를 사용하는 기업 네트워크 환경을 대상으로 공격하며, 웜 기능을 사용하기 위해 “/NETWORK”라는 인자를 사용한다. “MountLocker” 랜섬웨어는 2020년 7월에 등장했으며 주로 기업을 대상으로 공격한다. 이들은 서비스형 랜섬웨어(Ransomware as a Service, RaaS)라는 비즈니스 모델을 사용해 운영 중이며, 지난 3월에는 “MountLocker” 랜섬웨어의 커스텀(Custom) 버전을 사용하는 “AstroLocker” 랜섬웨어 조직이 등장했다. 당시에는 “MountLocker” 랜섬웨어 조직이 “AstroLocker”로 이름을 변경해 활동하는 것으로 알려졌다. 하지만, 현재 “.. 2021. 5. 28. [주간 랜섬웨어 동향] – 5월 4주차 잉카인터넷 대응팀은 2021년 5월 21일부터 2021년 5월 27일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Nohacker" 1건, 변종 랜섬웨어는 "Stop" 외 5건이 발견됐다. 또한, "Qlocker" 랜섬웨어 조직은 랜섬머니 협상 사이트를 폐쇄하여 운영을 잠정적으로 중단했다. 2021년 5월 21일 Stop 랜섬웨어 파일명에 ".nusm" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Stop" 랜섬웨어의 변종이 발견됐다. 2019.01.15 - [랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어 HiddenTear 랜섬웨어 파일명에 ".[랜덤 숫자]" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "HiddenTear" 랜섬웨어의 변종이 발견.. 2021. 5. 27. [주간 랜섬웨어 동향] – 5월 3주차 잉카인터넷 대응팀은 2021년 5월 14일부터 2021년 5월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Sick” 외 3건, 변종 랜섬웨어는 “Nefilim” 외 3건이 발견됐다. 이 중, 연결된 네트워크를 감염할 수 있는 기능이 추가된 “MountLocker” 랜섬웨어가 발견됐고, 미 당국이 “DarkSide” 랜섬웨어 조직의 자원을 모두 압수해 해당 조직의 운영이 중단됐다. 2021년 5월 14일 Nefilim 랜섬웨어 파일명에 “.NEFILIM“ 확장자를 추가하고 “NEFILIM-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다. 2020.03.27 - [랜섬웨어 분석] Nefilim 랜섬웨어 2021년 5월 17일 .. 2021. 5. 20. RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드 "RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다. 최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다. RoyalRoad "RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 .. 2021. 5. 18. ICMP Tunneling 기법을 사용하는 PingBack 악성코드 최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하.. 2021. 5. 18. 안드로이드 백신 프로그램 사칭 악성 RAT 최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다. 해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다. 가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외.. 2021. 5. 18. 이전 1 ··· 36 37 38 39 40 41 42 ··· 146 다음
