잉카인터넷 시큐리티대응센터 블로그

최근 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord)에서 제공하는 기능을 사용하여 사용자에게 피해를 입히는 악성코드들이 발견되고 있다. 디스코드는 사용자의 편의를 위해 다양한 기능을 제공하며 그 중 대표적인 것이 원하는 정보를 메시지로 받을 수 있도록 하는 웹훅(WebHook)과 파일 전송을 위한 CDN(Contents Delivery Network)이다. 하지만 악성코드 제작자들은 이러한 기능들을 악용하여 사용자의 정보를 탈취하거나 추가적인 페이로드 실행으로 사용자에게 피해를 입힌다. 최근 반년 동안 디스코드를 사용한 악성코드를 조사한 결과 4가지의 특징을 보였으며 올해부터는 디스코드에서 제공하는 기능을 랜섬웨어에도 적용하는 추세이다. 첫 번째 특징은 웹훅을 이용하여 수집한 정보를 공격자에..

1. 악성코드 통계 악성코드 Top20 2021년2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Miner (마이너)이며 총 21,100 건이 탐지되었다. 악성코드 진단 수 전월 비교 2월에는 악성코드 유형별로 1월과 비교하였을 때 Trojan, Virus 및 Exploit의 진단 수가 증가하였고, Worm과 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 2월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 1월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2월에는 ..

Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans, RAT) 악성코드로, 2019년 8월경 “Cisco Talos”에서 “소비자 보호 단체 BBB(Better Business Bureau)”를 사칭한 피싱 이메일의 첨부 파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸다. (출처: https://blog.talosintelligence.com/2019/08/rat-ratatouille-revrat-orcus.html) 또한 2019년 12월경, 캐나다 라디오·TV 전기통신위원회 CRTC(Canadian Radio-television and Telecommunication Commission)에서 Orcus RAT 악성코드 제작자..

Introduction 올해 1월 해외 보안기업 I사는 ElectroRAT 캠페인을 공개했습니다. 이 캠페인의 악성코드는 GO 언어로 제작되었으며 Windows 뿐만 아니라, MacOS, Linux용 악성 파일을 배포하였습니다. 2020년 1월부터 활동한 것으로 추정되고 있는 이 캠페인은 정상적인 SW프로그램처럼 보이기 위해 독립적인 홈페이지를 구축하고, SNS와 암호화폐 커뮤니티에 정상 프로그램으로 홍보하여 설치를 유도하였습니다. 현재까지 알려진 FakeAPP은 암호화폐 거래 관리용 프로그램인 “eTrader”와 “Jamm”, 암호화폐를 사용하여 포커를 할 수 있는 ”DaoPoker”가 있으며, 해당 파일들은 NSIS포맷의 설치파일로 내부에 FakeApp과 백도어 기능을 수행하는 ElectroRAT으로..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..

전 세계가 코로나19 바이러스 감염증으로 많은 주의와 관심을 가지는 가운데, 이를 이용한 사회공학기법 악성코드가 크게 증가하고 있는 추세이다. 최근에는 북한에 대한 내용으로 코로나 19 관련 뉴스를 위장한 문서가 유포되었다. 해당 문서는 “Pyongyang stores low on foreign goods amid North Korean COVID-19 paranoia”라는 제목을 가진 워드 문서이다. 문서 본문의 내용은 "NK NEWS" 에서 발표한 내용과 동일하지만, 문서 내부에 포함된 페이로드가 실행되면 악성파일을 다운로드한다. 해당 악성파일은 사용자 PC의 정보를 탈취하는 Amadey 악성코드로, 2019년부터 현재까지 지속적으로 나타나는 악성코드이기에 주의가 필요하다. 해당 문서는 하기의 이미지..

2020년 “인천광역시 코로나바이러스 대응 긴급 조회”라는 제목의 악성 한글 문서가 발견되었다. 해당 한글 문서는 코로나 19 바이러스와 관련된 내용으로 공공기관을 사칭하여 유포되었는데, 사용자가 정상 문서처럼 위장한 내용에 속아 악성 한글 문서를 실행한다면 문서에 삽입된 EPS(Encapsulated PostScript)를 통해 “CRAT” 악성코드를 다운로드하고 사용자의 정보를 탈취한다. 한글 프로그램에서는 그래픽 이미지를 화면에 표현하기 위해 EPS 파일을 사용한다. 공격자들은 한글 문서에 악성 EPS 파일을 삽입하고, EPS 파일이 9.21 이하 버전의 인터프리터(gbb.exe, gswin32c.exe)를 통해 실행되는 과정에서 발생하는 CVE-2017-8291 취약점을 이용하여 악성 동작을 수행..

1. 악성코드 통계 악성코드 Top20 2020년12월(12월 1일 ~ 12월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 28,648 건이 탐지되었다. 악성코드 유형 비율 12월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 79%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Worm(웜)이 각각 10%와 4%, Backdoor(백도어)와 Virus(바이러스)가 각각 3%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유..

1. 개요 및 분석 정보 1-1. 개요 최근 디스코드에서 제공하는 웹훅을 악용하여 디스코드 사용자의 데이터를 훔치는 “TroubleGrabber” 악성코드가 발견되었다. 디스코드(Discord)는 게임상에서 음성 채팅을 위해 제작된 프로그램으로 약 2억 명 이상의 사용자가 있으며, 자체적으로 웹훅(Webhook) 기능을 제공한다. 웹훅은 서버에서 작업이 발생했을 때 그 정보를 외부에 전달하는 방식을 의미하며, 디스코드에서는 이 기능을 이용하여 원하는 정보를 메시지로 받을 수 있다. 이번에 발견된 "TroubleGrabber"는 디스코드에서 제공하는 웹훅을 악용하여 사용자 PC에서 정보를 탈취하는 데 사용하며, 추가로 특정 버전에서는 디스코드 클라이언트 파일을 수정하여 사용자가 로그인할 때마다 공격자에게 ..

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다. 해당 악성코드가 실행되면, 정상 PDF Reader Installer을 드롭하고 실행한다. 정상 Install 파일의 화면을 띄우고, 악성 자바 스크립트 파일을 드롭 및 실행한다. 해당 스크립트 파일은 난독화 되어있어 일반 사용자는 파일 내용을 확인하기 힘들도록 한다. 아래의 빨간색 상자는 인코딩된 메인 코드이다. 인코딩된 메인 코드를 base64로 디코딩하면 다음과 같은 스크립트를 확인..