잉카인터넷 시큐리티대응센터 블로그

최근, FBI가 "Hive" 랜섬웨어 공격과 관련된 정보를 공유했다. FBI가 공개한 보고서에 따르면 "Hive" 랜섬웨어를 사용하는 조직은 백업 파일 삭제, 보안 솔루션과 관련한 프로세스 종료 등의 행위를 수행한 후, 파일 암호화를 진행한다고 알려졌다. 또한, 이들이 사용하는 파일은 다음과 같다. hive.bat : 자가 삭제 등의 삭제 루틴 실행한다. Shaow.bat : 볼륨 섀도우 복사본, 백업 파일 및 시스템 스냅샷 등을 삭제한다. Winlo.exe : 7zG.exe 파일일 드롭한다. 7zG.exe : 7-Zip 압축파일. Winlo_dump 64 SCY.exe 파일일 드롭한다. Winlo_dump_64_SCY.exe : 파일 암호화 및 랜섬노트를 생성한다. 출처 : FBI 출처 [1] FBI ..

새롭게 등장한 "MBC" 랜섬웨어 그룹이 이란의 철도 시스템 서비스를 중단시킨 사이버 공격의 배후라고 주장했다. 2021년 7월 9일, 이란의 열차 시스템이 Meteor라는 와이퍼 악성코드에 의해 공격을 당했다. 해당 공격에 의해 한동한 열차의 운행이 중단됐고, 플랫폼 내의 모니터의 화면을 변경하여 이란 최고 지도자의 사무실 전화번호로 불만 사항을 토로하라는 문구를 띄어 이란 정부를 조롱했다. 2021.08.10 - [분석 정보/악성코드 분석 정보] - 이란의 철도 시스템을 공격한 와이퍼 악성코드 Meteor 이에 대해, 최근 "MBC" 랜섬웨어 그룹이 자신이 운영하는 데이터 유출 사이트를 개설하고, 이란 철도 시스템을 공격한 배후가 자신들이라고 주장하며 일정 기간 후에 탈취한 데이터를 공개하겠다고 게시..

국내 유명 보험 대기업이 "Conti" 랜섬웨어 공격에 의해 데이터 유출 피해를 입은 것으로 보인다. 현재 공식적인 피해 기업의 발표는 없지만 "Conti" 랜섬웨어 그룹이 운영하는 데이터 유출 사이트에 2021년 8월 26일자로 해당 기업의 데이터가 게시됐다. 데이터는 주로 베트남 고객의 개인정보로 확인되며 총 49개의 파일을 첨부되어 있다. 출처 [1] RedPacket Security (2021.08.27) – Conti Ransomware Victim https://www.redpacketsecurity.com/conti-ransomware-victim-vsgumj_hanwha_life_vietnam/

최근까지 유포됐던 Ragnarok 랜섬웨어가 운영을 종료한 것으로 보인다. 현재 Ragnarok 랜섬웨어가 운영하는 데이터 유출 사이트의 이름이 "Decrypt Site"로 변경되었으며 "DECRYPT"라는 제목의 게시글 이외에 모두 삭제됐다. 이에 대해 데이터 복호화 전문 기업인 "Emsisoft"에서는 유출 사이트에 게시된 복호화 툴을 이용하여 범용 복호화 툴을 제작하고 있으며 곧 출시될 것이라고 밝혔다. 출처 [1] Bleeping Computer (2021.08.27) – Ragnarok ransomware releases master decryptor after shutdown https://www.bleepingcomputer.com/news/security/ragnarok-ransomware..

최근, 국내외 많은 사용자를 보유하고 있는 메시지 앱 WhatsApp의 추가 옵션 기능을 제공하는 앱으로 위장한 Triada 악성코드가 등장하였다. 해당 악성코드는 'FMWhatsApp' 이름으로 유포되었으며, WhatsApp이 기존에 가지고 있지 않은 특정 대화를 숨기는 옵션, 보낸 사람이 삭제한 메시지 보기 옵션 등의 추가 기능을 제공한다고 알려졌다. Triada 악성코드는 사용자 단말기의 정보를 탈취하거나 SMS 메시지에 접근하는 등의 악성동작을 수행한다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.08.27) – Triada Trojan in WhatsApp mod https://securelist.com/triada-trojan-in-whatsapp-mod/103679/

Microsoft를 사칭한 비밀번호 변경 피싱 메일 주의! 최근 Microsoft를 사칭해 Outlook 계정의 비밀번호를 변경하라는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 링크가 첨부된 메일로 비밀번호가 만료돼 변경해야한다는 내용으로 링크로 접속하도록 유도하고 있다. 첨부된 링크에 접속할 경우 Microsoft 로그인 사이트로 연결되고, 비밀번호를 입력하도록 유도한다. 그 후, 패스워드를 입력하면 잘못된 비밀번호라는 문구와 함께 다시 입력할 것을 요청한다. 이는 피싱 사이트라는 것을 판별하기 위해 사용자가 무작위로 패스워드를 입력하는 것에 대한 방안으로 적용된 기법으로 추정된다. 두번째 패스워드를 입력하면 공격자의 또 다른 서버로 리디렉션된다. 리디렉션된 사이트는 연락을 달..

Mac OS에 내장된 XProtect 백신 기술을 피해 Mac을 감염시키는 AdLoad 악성코드의 변종이 등장하였다. AdLoad는 2017년 처음 등장한 것으로 보이며, Mac OS를 표적으로 하는 Adware로 다양한 악성 페이로드를 배포하는 등의 악성 동작을 할 수 있다. 올해 발생한 캠페인에서는 약 150개 이상의 악성코드가 발견되었으며, 샘플 중 일부는 Apple의 공증 서비스를 받은 것으로 밝혀졌다 사진 출처: Sentinelone 출처 [1] Sentinelone (2021.08.12) – Massive New AdLoad Campaign Goes Entirely Undetected By Apple’s XProtect https://labs.sentinelone.com/massive-new-..

화면 녹화 및 키로깅을 통해 사용자의 로그인 자격 증명 화면을 탈취하는 안드로이드 뱅킹 악성 앱인 Vultur이 발견되었다. Vultur은 2021년 3월에 처음 등장하였으며, 'Protection Guard'라는 앱을 사칭하여 이탈리아와 호주, 스페인 등의 은행을 타겟으로 유포되었다. 해당 악성코드는 일반적으로 사용자 로그인 정보를 탈취할 때 사용되는 HTML 오버레이 방법이 아닌 단말기 화면을 녹화하여 정보를 탈취한다. 사진 출처: threatfabric 출처 [1] threatfabric (2021.08.05) – Vultur, with a V for VNC https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

최근 "LockBit" 랜섬웨어 운영진이 v2.0을 공개했다. "LockBit" 측이 공개한 버전은 Active Directory 그룹 정책을 사용해 연결된 PC에 랜섬웨어를 배포할 수 있다. 또한, 네트워크와 연결된 프린터에서 랜섬노트를 출력하는 기능이 추가됐다. 출처 : 다크웹

BlackMatter 랜섬웨어 그룹이 발견되었다. 해당 그룹은 데이터 유출 사이트를 개설하였으며, 현재 유출 사이트에는 게시된 데이터가 존재하지 않는다. RecordedFuture 에 따르면 BlackMatter 그룹이 판매하는 랜섬웨어가 DarkSide, REvil 및 LockBit 랜섬웨어의 기능을 통합하였으며, 비영리 단체 및 정부 등의 경우 공격대상에서 제외된다고 알렸다. 또한, 해커 포럼에 기업 네트워크에 대한 액세스 구매 광고를 게시하였다. 사진 출처 : 다크웹 출처 [1] RecordedFuture (2021.07.29) - BlackMatter Ransomware Emerges As Successor to DarkSide, Revil https://www.recordedfuture.com/..