잉카인터넷 시큐리티대응센터 블로그

Advanced Intel이 Avaddon 랜섬웨어 조직의 피해자에 대한 분석 결과를 공개했다. Advanced Intel이 공개한 보고서에 따르면 Avaddon 랜섬웨어 공격의 피해자가 가장 많은 국가는 미국과 캐나다 순이다. 이에 반해 러시아 또는 독립국가연합(CIS)에는 피해자가 없었다고 한다. 또한, Avaddon 랜섬웨어 조직은 소매업, 제조업 및 금융 순으로 공격 목표를 선정했으며, 이로 인한 해당 조직의 총 수입은 약 8,700만 달러에 달한다고 알려졌다. 출처 [1] advanced-intel (2021.06.16) - The Rise & Demise of Multi-Million Ransomware Business Empire https://www.advanced-intel.com/pos..

Microsoft 가 SEO Poisoning 기법을 사용하여 SolarMarker 악성코드를 유포한 사례에 대해 경고하였다. SEO Poisoning 은 검색 결과에서 더 높은 순위를 얻기 위해 인기 있는 키워드를 사용하여 웹 사이트를 만들고 해당 사이트에 사용자가 방문하도록 유도하는 공격 방식으로, 공격자는 이렇게 제작한 웹 사이트를 통해 SolarMarker 악성코드를 유포한 것으로 알려졌다. SolarMarker 는 백도어 악성코드로 Jupyter, Polazert 및 Yello Cockatoo 라는 이름으로도 알려져 있으며, 공격자의 명령을 전달받아 악성행위를 수행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1403461404879847435 출처..

Avaddon 랜섬웨어 조직이 운영을 중단하고 암호 복호화 키를 공개했다. BleepingComputer 측은 FBI에서 보낸 것으로 위장한 익명의 제보를 받았으며, 비밀번호와 암호화된 ZIP 파일에 대한 링크가 포함되어 있었다고 알렸다. 보안회사 Emsisoft는 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 배포했다. 압축파일은 "AvaddonDecryptionKeys"라고 주장하는 아래 3개의 파일이 포함되어 있었으며, 해당 키를 보안업체 Emsisoft에 공유하여 테스트한 결과 Avaddon 랜섬웨어에 감염된 시스템을 복구할 수 있었다고 밝혔다. Emsisoft 측은 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 무료로 배포했으며, "최근 주요 사법기관의 조치로..

Evil Corp 사이버 공격 그룹의 후속 랜섬웨어로 지목됐던 PayloadBIN의 운영진이 자신들의 데이터 유출 사이트에 입장 발표글을 게시했다. PayloadBIN 운영진은 프랑스 보안 회사로부터 시작된 Evil Corp와 연관이 있다는 추측에 대해 반박했다. 또한, PayloadBIN은 그 어떤 사이버 그룹과 연관이 없으며 데이터 유출을 위한 독립적인 그룹이라고 밝혔다. 해당 게시글은 PayloadBIN 운영진이 직접 표명한 글일 뿐 Evil Corp 사이버 공격 그룹이 법적 제재를 피하기 위해 리브랜딩한 것에 대한 가능성은 열려있는 것으로 추측된다. 출처 : Payload.bin 데이터 유출 사이트

최근 “SkinnyBoy”로 불리는 새로운 악성코드가 발견됐다. Clust25가 공개한 보고서에 따르면 해당 악성코드는 러시아에서 활동하는 APT28 조직이 사용자 PC의 정보를 수집하고, 최종 페이로드를 다운로드 받기 위해 사용하는 것으로 알려졌다. 출처 : https://cluster25.io/2021/06/03/a-not-so-fancy-game-apt28-skinnyboy/ 현재, “SkinnyBoy”는 국제 행사 초대와 관련된 내용을 지닌 조작된 문서를 사용해 유포한 것으로 알려졌으며, 실행 흐름은 [그림 1]과 같다. 드롭퍼 (Dropper) “SkinnyBoy” 악성코드를 실행하면 [표 1]과 같이 런처(Launcher)와 다운로더(Downloader) 특징을 지닌 파일을 드롭하고 자가삭제한..

잉카인터넷 대응팀은 2021년 6월 4일부터 2021년 6월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Mcburglar" 외 2건, 변종 랜섬웨어는 "Dharma" 외 6건이 발견됐다. 또한, "PayloadBIN" 랜섬웨어 조직은 "BabukLocker" 랜섬웨어의 변종으로 기존의 데이터 유출 사이트를 중단하고, "Payload.bin"이라는 데이터 유출 사이트를 개설했다. 2021년 6월 4일 Dharma 랜섬웨어 파일명에 ".[사용자 ID].[공격자 메일].cnc" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. Mcburglar 랜섬웨어 파일명에 ".mcburg..

미국 증권 업계 규제 기관인 FINRA가 피싱 메일에 대해 경고하였다. 공격자는 FINRA 에서 보낸 것처럼 위장하기 위해 "gateway-finra.org" 라는 주소를 사용하였으며, 메일을 통해 수신자에게 추가 정보를 요청하고 늦게 제출하면 벌금이 부과될 수 있다고 협박한 것으로 알려졌다. FINRA 는 피싱 공격에 사용된 도메인 주소가 서비스 되지 않도록 인터넷 도메인 등록 기관에 요청하였다고 알리며, 해당 도메인으로 전달된 이메일을 모두 삭제할 것을 권고하였다. 사진 출처 : https://www.finra.org/rules-guidance/notices/21-20 출처 [1] FINRA (2021.06.10) - FINRA Alerts Firms to Phishing Email Using “ga..

미국의 전자 제품 회사의 임원으로 위장한 피싱 메일이 발견되었다. 공격자는 피싱 메일에 악성 파일을 다운로드 할 수 있는 링크를 포함하여 사용자로 하여금 악성 파일을 다운로드 하도록 유도하였다. 다운로드 한 Zip 파일은 가짜 PDF 파일과 다운로더 악성코드로 구성되었는데, 피싱 메일이 유포된 시기에 따라 다운로더 악성코드 파일이 변경되었다. 공격 초기에는 JavaScript 로 작성된 다운로더 악성코드가 유포되었지만, 이후 발견된 사례에서는 악성 Excel 파일이 유포된 것으로 알려졌다. 만약 사용자가 악성 JavaScript 혹은 Excel 파일을 실행하면 추가 파일을 다운로드하여 악성 행위를 수행한다. 악성 동작 사용자가 악성 Excel 파일 실행 시, Excel 파일 내부의 매크로를 통해 공격자의..

최근 국내 안드로이드 단말기 사용자를 노린 피싱 메시지가 발견되었다. 피싱 메시지는 우체국, 택배와 관련된 문자 메시지로 위장하여 사용자가 링크를 클릭하도록 유도한다. 링크와 연결된 사이트는 Chrome 브라우저를 최신으로 업데이트할 것을 요구하며 정보 탈취 기능을 보유한 MoqHao 악성 앱을 다운로드하도록 유도한다. 다운로드된 악성 앱은 Chrome 브라우저로 위장한다. 앱을 실행하면 통화 내역, SMS 문자, 연락처, 등 민감한 정보에 접근할 수 있도록 권한을 요구하며, 자신을 기본 SMS 앱으로 설정하도록 유도한다. 권한을 받은 악성 앱은 단말기 정보를 수집하고 C&C 서버로 송신한다. MoqHao 는 과거에도 개인 정보 유출, 택배 반송과 같이 사용자의 주의를 끄는 내용의 피싱 메시지를 통해 유..

개요 Cisco 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco Adaptive Security Appliance Software (ASA) v9.16.1.3 및 이후 버전 - Cisco Content Security Management Appliance (SMA) v14.1.0 및 이후 버전 - Cisco Email Security Appliance (ESA) v14.0.0-692 GD 및 이후 버전 - Cisco FXOS Software v2.9.1.143 및 이후 버전 - Cisco Web Security ..