잉카인터넷 시큐리티대응센터 블로그

보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다. Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 ..

2021년 5월경 처음 등장한 "PrivateLoader" 캠페인이 인기 프로그램의 크랙버전으로 위장하여 유포되기 시작했다. 해당 악성코드는 'PPI(Pay-Per-Install) 악성코드 서비스'로 공격자가 불특정 다수의 타겟을 지정하여 악성코드를 유포할 수 있다. 'PPI 악성코드 서비스'란 악성코드 제작자가 고객(악성코드 의뢰인)이 원하는 페이로드를 다운로드 사이트에 정상 프로그램으로 위장하여 유포하고, 피해자가 해당 파일을 다운로드하여 실행할 때 고객에게 금전을 지불받는 형식의 서비스이다. "PrivateLoader" 악성코드 캠페인은 주로 백신 프로그램의 크랙 버전으로 위장되어 다운로드 사이트에 게시된다. 해당 파일을 피해자가 다운로드한 후 설치 파일을 통해 "Raccoon", "Redline"..

중국어를 구사하는 사이버 범죄 그룹 APT41은 2018년에 처음 등장했으며 "SideWalk" 또는 "Earth Baku"라는 명칭으로 사용되기도 한다. 해당 그룹은 주로 북미, 동남아시아의 IT 산업을 타겟으로 공격하고 있으며 최근 글로벌 항공 IT 제공 업체 SITA가 APT41의 공격을 받아 대규모 고객 정보가 유출된 사건이 있었다. APT41의 첫 등장 당시, 오픈 소스 악성코드인 "LavagokLdr" 로더를 이용해 "CrossWalk" 악성코드를 실행했다. 2020년부터 해당 APT 그룹은 "StealthMutant" 와 "StealthVector" 로더를 제작하여 자신들의 공격 루틴을 구축했으며 현재까지 해당 악성코드로 인한 많은 피해 사례가 등장하고 있다. 본 보고서에서 설명하는 것은 A..

Microsoft는 새로운 악성코드 로더를 사용하여 다양한 RAT 악성코드를 배포한 스피어 피싱 캠페인에 대해 경고하였다. 공격자들은 항공우주 및 여행 업체를 대상으로 피싱 이메일을 보냈으며, 이메일에 첨부된 가짜 PDF 파일을 다운로드하도록 유도하여 악성코드를 유포하였다. 새로 발견된 악성코드 로더는 Morphisec의 연구원에 의해 Snip3 라는 이름으로 명명되었으며, 해당 로더를 통해 Revenge RAT, AsyncRAT, Agent Tesla 및 NetWire RAT 등의 악성코드를 실행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1392219299696152578 출처 [1] Bleeping Computer (2021.05.13) - Micro..