변종 5

Linux를 공격하는 Abyss Locker 랜섬웨어 변종

“Abyss Locker” 랜섬웨어가 Linux의 가상화 플랫폼인 VMware ESXi 서버를 공격하는 변종이 발견됐다. 발견된 변종은 ESXi 서버에서 호스트를 관리하는 esxcli 명령을 사용해 실행 중인 가상 머신을 모두 종료한다. 이후 가상 디스크, 스냅샷 및 메타데이터를 포함한 파일을 암호화한 후 파일명에 “.crypt” 확장자를 추가한다. 또한, “파일명.README_TO_RESTORE” 이름의 랜섬노트를 생성한다. 외신은 “Abyss Locker” 측이 자신들이 운영하는 데이터 유출 사이트에 14곳의 피해 업체 정보를 게시했다고 전했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2023.07.29) – Linux version of Abyss ..

사용자 계정 컨트롤을 우회하는 Casbaneiro 악성코드 변종

최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 “Casbaneiro” 악성코드 변종이 발견됐다. 보안 업체 Sygnia는 "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다. 이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동..

[주간 랜섬웨어 동향] – 5월 1주차

잉카인터넷 대응팀은 2021년 4월 30일부터 2021년 5월 6일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “CryBaby” 외 2건, 변종 랜섬웨어는 “SunCrypt” 외 2건이 발견됐다. 이 중, QNAP이 자사 NAS를 대상으로 공격하는 “AgeLocker” 랜섬웨어에 대해 경고했고, “BabukLocker” 랜섬웨어의 운영진은 랜섬웨어 운영을 중단하고 정보 탈취에 중점을 두겠다고 발표했다. 2021년 4월 30일 SunCrypt 랜섬웨어 파일명에 “.[랜덤 문자열]“ 확장자를 추가하고 “YOUR_FILES_ARE_ENCRYPTED.HTML"라는 랜섬노트를 생성하는 "SunCrypt" 랜섬웨어의 변종이 발견됐다. AgeLocker 랜섬웨어 QNAP이 자사 N..

안전모드에서 감염하는 Sodinokibi 랜섬웨어 변종

지난 3월 중순, 안전모드에서 파일을 감염하는 기능이 추가된 “Sodinokibi” 랜섬웨어 v2.4가 발견됐다. 또한, 4월 초에 발견된 v2.5에서는 자동로그인 기능을 추가하여 파일 감염의 성능을 끌어올렸다. “Sodinokibi” 랜섬웨어를 실행할 때 [그림 1]과 같이 “-smode”를 인자로 전달하면 재부팅 후 안전모드로 진입하여 감염한다. “-smode”를 인자로 전달받은 “Sodinokibi” 랜섬웨어는 안전 모드 진입을 위해 [표 1]의 명령어를 실행한다. [표 1]의 명령어가 실행되면 부팅 옵션이 [그림 2]와 같이 ‘안전 부팅-네트워크’로 설정된다. 그 후, 안전모드에서 랜섬웨어를 자동 실행하기 위해 [표 2]와 같이 변경된 값에 “*”를 추가하고, 부팅 후 안전 모드 설정 값을 삭제하..

[악성코드 분석] 'CryptoMix ransomware' 감염주의

CryptoMix ransomware(변종) 분석 1. 개요 랜섬웨어는 사용자 PC에 저장되어 있는 파일들을 암호화하여 이를 인질로 삼아 금전을 요구하는 악성 코드다. 최근 국내 기업에서도 랜섬웨어로 인한 피해 사례가 급증하고 있다. 랜섬웨어 제작자는 익명성을 보장해주는 비트코인 및 토르를 이용하여 추적을 어렵게 만들기 때문에 이를 악용한 사이버 범죄는 계속해서 늘어날 것으로 보여진다. 이번 보고서에서 다루는 ‘CryptoMix Ransomware’ 변종은 앞서 말한 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 CryptoMix.exe (임의의 파일명) 파일크기 241,152 byte 진단명 Ransom/W32.CryptoMix.21..