최신 보안 동향 452

BabukLocker 랜섬웨어 그룹, 새로운 PayloadBIN으로 재등장

파일 암호화 중단을 선언했던 BabukLocker 랜섬웨어가 PayloadBIN 랜섬웨어로 새롭게 등장했다. BabukLocker 랜섬웨어의 데이터 유출 사이트 종료 이전에 게시된 "Hello World 4"라는 제목의 게시글에서는 암호화 중단과 함께 데이터 유출 만을 위한 거대한 플랫폼을 개발하고 있다는 내용을 담고 있었다. 그 후, "Payload.bin" 이라는 이름의 데이터 유출 사이트를 오픈했으며 현재는 아무런 게시글이 존재하지 않는 상황이다. 사진 출처 : https://twitter.com/malwrhunterteam/status/1399610423750627330 출처 [1] MalwareHunter Team (2021-06-07) https://twitter.com/malwrhuntert..

Prometheus, Grief 랜섬웨어 그룹 등장

랜섬머니로 단기간에 수 십억 달러를 벌어들인 새로운 랜섬웨어 그룹 “Prometheus”와 “Grief” 가 등장했다. "Prometheus" 랜섬웨어 그룹은 멕시코 정부를 공격하여 데이터를 훔친 이력이 있으며 총 27개의 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이터에 게시한 것으로 알려졌다. 또한, 데이터 유출 사이트에 'Prometheus – group of REvil' 이라는 웹 페이지 이름을 가지고 있어 Sodinokibi(REvil) 랜섬웨어와의 연결고리가 있을 것으로 추정된다. "Grief" 랜섬웨어 그룹은 자신들이 운영하는 데이터 유출 사이트에 총 10개의 탈취 데이터를 게시했다. 또한, 해당 웹 페이지는 GDPR 33조를 인용하여 72시간 이내에 보안 감독기관에 데이터 침해 사실을..

가짜 영화 스트리밍 서비스로 유포되는 BazaLoader

가짜 영화 스트리밍 서비스를 통해 BazaLoader 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인은 가짜 영화 스트리밍 서비스인 BravoMovies를 가장한 요금 청구 스팸 메일을 통해 사용자가 고객센터에 전화 하도록 유도하고, 전화상담을 통해 BazaLoader를 다운로드하는 매크로가 포함 된 악성 엑셀(Excel)문서 다운로드를 유도한다. Proofpoint 연구원은 전화 상담을 통해 악성 다운로드를 유도하는 이 방법을 "BazarCall" 이라고 명명했으며, BazaLoader 및 Trickbot 배후의 위협 행위자가 앞으로도 이러한 기술을 계속 사용할 것으로 예상한다고 설명했다. 사진 출처 : https://www.proofpoint.com/us/blog/threat-insight/baz..

USAID를 사칭한 피싱 메일 캠페인

Microsoft Threat Intelligence Center는 미국 국제 개발처(USAID)의 마케팅 계정을 사칭한 피싱 메일을 발견하였다. 발견된 피싱 메일 캠페인은 러시아 기반의 Nobelium(APT29) 해킹 그룹의 공격으로, 합법적인 메일 서비스인 'Constant Contact'를 활용하여 유포되었다. 해당 캠페인에서는 정부 기관 및 조직을 포함한 150개 이상 그룹의 약 3000개의 메일 계정을 대상으로 피싱 메일이 전송되었으며, 'EnvySout'와 'Boombox' 등 4개의 새로운 악성코드가 등장하였다. 사진 출처: Microsoft Security Intelligence Center 출처 [1] Mircosoft (2021.05.31) – New sophisticated emai..

MS Exchange 서버 취약점을 활용하는 Epsilon Red 랜섬웨어

MS Exchange 서버 취약점을 활용해 컴퓨터를 암호화하는 "Epsilon Red" 랜섬웨어가 발견됐다. "Epsilon Red" 랜섬웨어는 Golang(Go) 언어로 작성됐으며 암호화 단계 이전에 12개 이상의 파워셸 스크립트를 실행해 복구 무력화, 프로세스 종료 등의 행위를 수행한다. 또한, 해당 랜섬웨어에 감염되면 파일명에 ".epsilonred" 확장자를 추가하고 “Revil” 랜섬웨어의 랜섬노트와 유사한 랜섬노트를 보여준다. Sophos 분석가들은 최근 해당 랜섬웨어의 피해 기업 중 한 곳이 약 4.28BTC(약 $210,000)의 랜섬머니를 지불했다고 알렸다. 출처 [1] Sophos (2021.05.31) - A new ransomware enters the fray: Epsilon Re..

랜섬웨어로 위장한 와이퍼를 사용하는 이란 해커 그룹

이란의 해커 그룹이 랜섬웨어로 위장한 와이퍼 악성코드를 사용하여 이스라엘을 공격했다. 과거 이란의 해커 그룹들이 공격 대상의 데이터를 파괴하기 위해 Shamoon, ZeroCleare 와이퍼 악성코드를 사용하였는데, 최근 Agrius 해커 그룹이 이스라엘을 대상으로 수행한 공격에서도 와이퍼 악성코드를 사용한 것으로 나타났다. Agrius 해커 그룹은 공격을 위해 DEADWOOD (Detbosit)와 Apostle 이라는 와이퍼 악성코드를 사용하였으며, 최근에는 Apostle의 기능을 수정하여 랜섬웨어 기능을 추가한 것으로 알려졌다. SentinelLabs 연구원들은 랜섬웨어 기능이 추가된 것에 대해, “데이터를 파괴하려는 의도를 감추기 위한 것”이라고 밝혔다. 해당 해커 그룹은 또한 Apostle 이외에..

Zeppelin 랜섬웨어 변종 등장

최근 Zeppelin 랜섬웨어의 변종이 판매 중이다. 지난 3월에 활동을 재개한 Zepplin 랜섬웨어 운영진이 최근 새로운 버전의 랜섬웨어를 판매한다고 발표했다. 이들이 판매하는 Zeppelin 랜섬웨어는 Buran으로도 불리며 Delphi 언어를 기반으로 작성됐다. 현재 약 2,300 달러에 판매되고 있으며, 이번 변종은 암호화의 안정성이 향상됐다고 알려졌다. 또한, 해당 랜섬웨어 운영진은 장기 사용자에 대해 특별 대우를 할 것이라고 알렸다. 출처 [1] bleepingcomputer (2021.05.25) - Zeppelin ransomware comes back to life with updated versions https://www.bleepingcomputer.com/news/security..

랜섬웨어로 위장한 STRRAT 악성코드 캠페인

STRRAT 악성코드는 Java 기반의 RAT으로 최근, 대규모 스팸 메일 캠페인으로 다시 모습을 드러냈다. 지난 2020년에 처음 등장하여 1년간 활발하게 유포된 STRRAT 악성코드는 사용자 PC의 파일에 '.crimson' 확장자를 추가하여 랜섬웨어에 감염된 척한다. 하지만 해당 파일은 감염되지 않았으며, 키로깅과 브라우저 및 이메일 자격증명 등의 사용자 정보를 훔치는 등의 악성 동작을 한다. 마이크로 소프트에 따르면, 최근 캠페인의 악성코드는 STRRAT 1.5 버전으로 이전보다 더욱 난독화되고, 모듈화되어 있음을 발견하였다. 사진 출처: Microsoft Security Intelligence 트위터 출처 [1] latesthackingnews (2021.05.25) – Microsoft war..

인도네시아 정부, RaidForums 해킹 포럼 접속 차단

인도네시아 시민들의 개인 정보 2억개가 유출되어 해킹 포럼에 게시된 이후, 정부는 추가 범죄 예방 조치로 "RaidForums" 해킹 포럼에 대한 접속을 차단했다. 해킹 포럼에 정보를 유출시킨 게시자는 인도네시아 국민들의 주민등록번호, KK 번호, 성명, 생년월일 및 기타 민감한 정보들이 포함되어 있다고 주장했다. 인도네시아의 통신 정보 기술부(Kominfo)는 유출된 정보를 토대로 철저한 조사를 진행하고 있다고 밝혔으며 공격자가 국가 의료 서비스 관리자의 PC에서 인도네시아 국민들의 개인정보를 탈취했을 것이라는 가능성을 제시했다. 사진 출처 : https://www.bleepingcomputer.com/news/security/indonesian-govt-blocks-access-to-raidforum..

IoT 장치를 위협하는 Simps 봇넷

다크웹에서 IoT 노드를 사용하여 DDoS 공격을 수행하는 "Simps"라는 이름의 봇넷이 발견되었다. Uptycs 사이버 위협 연구팀은 특정 Discord 메시지를 단서로 해당 봇넷이 Keksec 그룹의 활동이라고 규정했다. 현재 캠페인에서는 Realtek 및 Linksys 장비의 취약점을 악용하여 Gafgyt 봇넷을 통해 기기를 감염시킨 후, Simps를 다운로드 및 실행시킨다. 실행된 Simps는 기기가 감염되었다는 사실을 기록하는 로그 파일을 삭제하고 C&C 서버에 연결한 후, Mirai 및 Gafgyt 모듈을 사용하여 DDoS 공격을 수행한다. 사진 출처 : https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-gr..