분석24 새롭게 등장한 MaaS, Matanbuchus Loader 사이버 범죄 서비스인 Malware-as-a-Service(MaaS)가 최근 들어 더욱 활발하게 모습을 나타내고 있어 주의가 필요하다. 그 중, Matanbuchus Loader는 새롭게 등장한 악성코드로 해당 악성코드는 원격지와 통신하며 사용자 정보를 탈취하고 그 외 추가적인 명령 및 제어 동작을 수행한다. 한 해킹 포럼에서 처음 광고되었으며 $2500 달러에 판매가 되었다. 해당 게시글을 작성한 BelialDemon은 이전에TriumphLoader를 개발하여 판매한 것으로 추정된다. 사진 출처: https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/ 엑셀 문서 파일을 통해 최초 유포되었으며, 최종 페이로드인 Matanbuchus.d.. 2021. 6. 28. Telegram을 C&C 서버로 사용하는 ToxicEye 악성코드 Telegram에서 제공하는 Bot 기능을 악용하여 사용자의 데이터를 탈취하고 감염된 PC를 조작하는 ToxicEye 악성코드가 발견되었다. Telegram은 인터넷 메신져 프로그램으로 알림, 정보 열람 등 사용자가 반복적으로 해야할 일들을 대체해줄 수 있는 Bot 기능을 제공한다. 공격자는 Telegram Bot 계정을 생성하고 이를 통해 ToxicEye 악성코드에 감염된 환경에 명령을 내려 다양한 악성행위를 수행하였다. 이번에 발견된 ToxicEye 악성코드는 해커 포럼과 GitHub에 소스코드가 공개되었으며, 최근 이메일을 통해 유포된 사례가 발견되었다. ToxicEye 악성코드 실행 시, C:\Users\ToxicEye\rat 경로에 자가복제한 뒤 관리자 권한으로 실행한다. 그리고 복사한 파일이 .. 2021. 5. 6. 랜섬 카르텔 분석 보고서 4월 초, 보안 업체 Analyst1이 랜섬 카르텔 분석 보고서인 “RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL”을 공개했다. Analyst1이 발표한 보고서에 따르면 랜섬 카르텔에 포함된 조직은 5개로 Twisted Spider, Viking Spider, Wizard Spider, Lockbit Gang및 Suncrypt Gang이 포함돼 있다. 이 중 “SunCrypt” 랜섬웨어를 사용하는 Suncrypt Gang은 현재 활동하지 않는다. (출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL) [그림 2]는 랜섬웨어 조직 및 카르텔 형성과 관련한 .. 2021. 4. 27. VMware 제품 보안 업데이트 권고 개요 VMware 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - VMware Carbon Black Cloud Workload Appliance v1.0.2 참고자료 https://www.vmware.com/security/advisories/VMSA-2021-0005.html https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.0/rn/cbc-workload-102-release-notes.html https://.. 2021. 4. 2. 정상 앱 사칭 Clast82 유포 주의 정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바.. 2021. 4. 2. 피싱 메일 주의 신용카드 거래 영수증을 사칭한 피싱 메일 유포 최근 상품 구매 영수증을 사칭한 피싱 메일이 유포되었다. 해당 메일에는 영수증 번호와 거래 일자, 사용 금액이 상세하게 적혀있어, 사용자로 하여금 첨부된 문서 파일을 클릭하도록 유도한다. 첨부된 파일은 악성 엑셀 문서로 매크로를 활성화하는 ‘콘텐츠 사용’ 버튼을 클릭하고 ‘OPEN & VIEW’ 박스를 클릭하면 매크로를 통한 악성동작이 시작된다. 매크로를 통해 원격지 서버에 연결하여 임의의 파일 명으로 %Temp% 경로에 dll 파일을 다운로드한다. 다운로드된 dll은 정상 파일에 인젝션되어, C2 서버에 연결을 시도한다. 현 분석 시점에는 해당 서버에 연결되지 않는다. 최근 피싱 메일은 사용자가 의심하지 않도록 내용이 더욱 정교화되고 있기 때문에, 사용자들.. 2021. 3. 30. 이전 1 2 3 4 다음
