잉카인터넷 시큐리티대응센터 블로그

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내..

2020년 1월부터 활동을 시작한 “Haskers Gang”은 러시아어를 구사하는 구성원으로 이루어져 있으며 “스틸러”, “암호화 기” 악성코드를 무료 배포 또는 판매하고 있다. 현재까지도 해당 해킹 그룹은 지속적인 업데이트를 통해 고객들을 유치하고 있으며 텔레그램을 통해 정보 탈취 로그를 받을 수 있도록 운영하고 있다. 해당 해킹 그룹의 인포 스틸러 “GinzoStealer”는 무료로 배포 중이며 고객이 텔레그램 계정을 통해 탈취한 정보를 받을 수 있다. “GinzoStealer”는 유튜브를 이용해 게임 치트 툴, 불법 복제 소프트웨어로 위장하여 유포되고 있고, 감염되면 사용자의 PC 정보, 암호화폐 지갑 정보 및 브라우저 쿠키 정보를 탈취한다. 해당 악성코드는 더 강력한 인포 스틸러와 불법 암호화폐 ..

잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다. 2022년 3월 25일 Conti 랜섬웨어 파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다. Lapsus$ 랜섬웨어 그룹 구성원 일부 체포 최근 런던시 ..

최근 러시아어를 사용하는 다크웹 해킹 포럼에서 “BlackGuard” 스틸러(Stealer) 악성코드의 판매 정황이 발견됐다. “BlackGuard”는 사용자 PC에서 브라우저 및 암호화폐 지갑 등의 정보를 탈취하기 위해 제작된 악성코드이다. 현재, “BlackGuard” 악성코드는 해킹 포럼에서 200 ~ 700 달러의 가격에 판매되고 있다. 게시글에 따르면, 다수의 브라우저 및 암호화폐 지갑 등에서 정보를 수집해 공격자에게 전송하며, 분석을 방지하기 위해 안티 디버깅 기법 및 난독화 등이 적용됐다고 알려졌다. 탐지 및 분석 방지 “BlackGuard” 악성코드를 실행하면 먼저, [표 1]의 목록과 같이 백신 프로그램 및 가상환경 관련 프로세스를 확인한 후 종료한다. 그 후, BlockInput API..

2021년 7월경 처음 등장한 “Jester” 정보 탈취 악성코드는 지속적인 업데이트와 함께 해킹 포럼에서 판매되고 있다. 해킹 포럼에 게시된 글에 따르면 해당 악성코드는 공격자의 Tor 서버나 익명 파일 공유 서버에 탈취된 데이터가 전송되어 효율적인 관리가 가능하며 메모리에 탈취 데이터를 저장하여 은밀하고 신속하게 악성 동작을 수행할 수 있다. 해당 악성코드는 현재 러시아 해킹 포럼에서 99달러 ~ 999달러에 판매되고 있으며 텔레그렘을 통해 암호화폐로 거래가 이루어진다. 최신 버전의 “Jester” 악성코드는 2022년 1월경 업데이트 됐으며 기존 버전의 악성코드보다 빨라진 데이터 전송 속도를 가졌다고 설명한다. “Jester” 정보 탈취 악성코드를 피해자가 실행하면 로그인 자격 증명, 쿠키, 신용 ..

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 ..

잉카인터넷 대응팀은 2022년 3월 18일부터 2022년 3월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "GoodWill" 1건, 변종 랜섬웨어는 "CryptoJoker" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 "Conti" 랜섬웨어와 관련해서 소스 코드를 유출한 이슈가 있었다. 2022년 3월 19일 CryptoJoker 랜섬웨어 파일명에 ".fully.fucked" 또는 ".partially.fucked" 확장자를 추가하고 "CAD Recovery Information.txt"라는 랜섬노트를 생성하는 "CryptoJoker" 랜섬웨어의 변종이 발견됐다. Hive 랜섬웨어 파일명에 ".key.4g3j7" 확장자를 추가하고 "x..

2021년 5월경 처음 등장한 "PrivateLoader" 캠페인이 인기 프로그램의 크랙버전으로 위장하여 유포되기 시작했다. 해당 악성코드는 'PPI(Pay-Per-Install) 악성코드 서비스'로 공격자가 불특정 다수의 타겟을 지정하여 악성코드를 유포할 수 있다. 'PPI 악성코드 서비스'란 악성코드 제작자가 고객(악성코드 의뢰인)이 원하는 페이로드를 다운로드 사이트에 정상 프로그램으로 위장하여 유포하고, 피해자가 해당 파일을 다운로드하여 실행할 때 고객에게 금전을 지불받는 형식의 서비스이다. "PrivateLoader" 악성코드 캠페인은 주로 백신 프로그램의 크랙 버전으로 위장되어 다운로드 사이트에 게시된다. 해당 파일을 피해자가 다운로드한 후 설치 파일을 통해 "Raccoon", "Redline"..

지난 2월 말, 우크라이나의 업체 및 정부 기관들을 대상으로 한 사이버 공격이 발견됐다. 공격자들은 이번 공격에 주로 와이퍼(Wiper) 악성코드를 사용해 기관들에 피해를 입혔으며, 랜섬웨어를 사용한 정황도 발견됐다. 그리고 공격에 사용된 악성코드 모두 Hermetica Digital Ltd에 발급된 코드 서명 인증서를 사용한다는 특징이 있다. 공격자들이 중동의 키프로스에 위치한 업체인 Hermetica Digital Ltd의 이름으로 인증서를 발급 받은 시기는 2021년 4월 13일로 [그림 1]에서 확인된다. 해당 인증서와 관련해 외신은 Hermetica 측에서 자신들은 인증서의 발급 사실도 몰랐다고 언급한 내용을 전했다. 현재, Hermetica 이름으로 발급된 인증서는 인증 기관에 의해 사용이 중..

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다. 최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다. 단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록,..