잉카인터넷 시큐리티대응센터 블로그

Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans, RAT) 악성코드로, 2019년 8월경 “Cisco Talos”에서 “소비자 보호 단체 BBB(Better Business Bureau)”를 사칭한 피싱 이메일의 첨부 파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸다. (출처: https://blog.talosintelligence.com/2019/08/rat-ratatouille-revrat-orcus.html) 또한 2019년 12월경, 캐나다 라디오·TV 전기통신위원회 CRTC(Canadian Radio-television and Telecommunication Commission)에서 Orcus RAT 악성코드 제작자..

Introduction 올해 1월 해외 보안기업 I사는 ElectroRAT 캠페인을 공개했습니다. 이 캠페인의 악성코드는 GO 언어로 제작되었으며 Windows 뿐만 아니라, MacOS, Linux용 악성 파일을 배포하였습니다. 2020년 1월부터 활동한 것으로 추정되고 있는 이 캠페인은 정상적인 SW프로그램처럼 보이기 위해 독립적인 홈페이지를 구축하고, SNS와 암호화폐 커뮤니티에 정상 프로그램으로 홍보하여 설치를 유도하였습니다. 현재까지 알려진 FakeAPP은 암호화폐 거래 관리용 프로그램인 “eTrader”와 “Jamm”, 암호화폐를 사용하여 포커를 할 수 있는 ”DaoPoker”가 있으며, 해당 파일들은 NSIS포맷의 설치파일로 내부에 FakeApp과 백도어 기능을 수행하는 ElectroRAT으로..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..

2020년 “인천광역시 코로나바이러스 대응 긴급 조회”라는 제목의 악성 한글 문서가 발견되었다. 해당 한글 문서는 코로나 19 바이러스와 관련된 내용으로 공공기관을 사칭하여 유포되었는데, 사용자가 정상 문서처럼 위장한 내용에 속아 악성 한글 문서를 실행한다면 문서에 삽입된 EPS(Encapsulated PostScript)를 통해 “CRAT” 악성코드를 다운로드하고 사용자의 정보를 탈취한다. 한글 프로그램에서는 그래픽 이미지를 화면에 표현하기 위해 EPS 파일을 사용한다. 공격자들은 한글 문서에 악성 EPS 파일을 삽입하고, EPS 파일이 9.21 이하 버전의 인터프리터(gbb.exe, gswin32c.exe)를 통해 실행되는 과정에서 발생하는 CVE-2017-8291 취약점을 이용하여 악성 동작을 수행..

악성코드 분석보고서 1. 9월 랜섬웨어 동향 2020년 9월(9월 01일 ~ 9월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 미국 광섬유 개발 업체 IPG Photonics와 독일 뒤셀도르프 대학병원이 각각 “RansomEXX”, “Revil” 랜섬웨어에 공격을 받았다. 또한, 미국 뉴저지 대학병원(University Hospital New Jersey)이 “SunCrypt” 랜섬웨어 공격을 받아 데이터가 유출되었다. 이번 보고서에서는 9월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 9월 등장한 “Dusk” 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 미국 광섬유 개발 업체 IPG Photonics, RansomEXX 랜섬웨어 피해 사례 “Ranso..

Trickbot 악성코드는 모듈형 악성코드로 로더와 모듈이 존재한다. 로더는 악성 모듈을 다운받고 실행하는데, 과거에 Trickbot악성코드는 금융 정보를 탈취하는 기능을 가진 악성 모듈이 유포되어 Banker 악성코드로도 유명하다. 현재 유포되는 모듈 중에는 웹 브라우저에 저장된 사용자 계정 정보를 탈취하기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘Trickbot’ 악성코드의 주요 악성 동작에 대해 알아본다. 해당 악성코드는 먼저 “%AppData%/TimeEr” 폴더를 생성하고 로더의 설정 파일을 생성한다. 생성된 설정 파일은 C2 서버 목록이 존재하며, C2 서버와 연결이 될 경우 “%AppData%/TimeEr/Data” 폴더에 암호화된 악성 모듈과 모듈의 구성 파일을 함께 생성한다...

IOCP Ransomware 감염 주의 최근 “IOCP” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 해외 사이트에 피해 사례가 발견되고 있으며, 볼륨 섀도우 복사본을 삭제하고 사용자의 파일을 암호화하기 때문에 주의가 필요하다. 이번 보고서에서는 “IOCP” 랜섬웨어에 대해 간략하게 알아보고자 한다. “IOCP” 랜섬웨어 실행 시, WMIC 명령어를 통해 현재 시스템의 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다. 그리고 파일을 검색하여 [표 1]의 암호화 제외 목록과 비교하여 조건에 부합하는 파일을 암호화하고, UAKXC 확장자를 덧붙인다. 이후 파일을 암호화한 폴더에 랜섬노트를 생성하여 감염 사실과 복구 방법을 통보한다. 이번 보고서에서 알아본 “IOCP” 랜섬웨어는 볼륨 섀도우 복사본을 ..

지난 8월 중순, Anubis Stealer가 등장하였다. 해당 악성코드는 사용자의 PC에 저장된 정보를 탈취할 뿐 아니라, C&C 서버와 연결하여 탈취한 정보를 송신하고, 파일을 다운로드 하는 등의 동작을 하여 2차 피해가 발생할 수 있기에 주의가 필요하다. 이번 보고서에서는 Anubis Stealer의 동작에 대해 알아보고자 한다. Anubis Stealer는 사용자 PC에 대한 정보를 비롯한 브라우저 정보 등을 탈취하여 ‘AX7574VD.tmp’ 디렉토리에 저장한다. 악성코드가 시작되면 가장 먼저, 현재 웹캠과 모니터 화면을 캡처한다. 하기의 이미지, 표와 같이 사용자 PC에 저장되어 있는 다양한 정보를 탈취한다. FileZilla 브라우저에서 사용자 비밀번호와 사용자가 사용하는 사이트의 정보를 탈..

1. 개요 최근 러시아 사이버 포럼에서 판매되고 있는 “PurpleWave Stealer”가 발견되었다. 판매자가 게시한 내용에 따르면 해당 악성코드는 C++로 작성되었고 평생업데이트 버전은 5000 루블, 두 번의 업데이트 지원 버전은 4000 루블에 판매하고 있다. 또한 탈취한 정보를 확인할 수 있는 패널을 제공하고 있으며, 사용자의 시스템에서 실행 시 민감한 정보가 탈취될 수 있어 주의가 필요하다. 이번 보고서에서는 “PurpleWave Stealer”에 대해 알아보고자 한다. 2. 분석 정보 2-1. C&C 연결 “PurpleWave Stealer” 실행 시, C&C 서버에 연결한다. 이때 공격자로부터 JSON 형식으로 전달되는 패킷 정보에 따라 [표 1]과 같이 가짜 알림 창, 파일 수집 경로 ..

Silvertor Ransomware 감염 주의 최근 “Silvertor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치파일을 통해 볼륨 섀도우 복사본을 삭제하고, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Silvertor” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Silvertor” 랜섬웨어 실행 시, ‘C:\ProgramData’ 경로에 “cmdkey.bat” 배치파일 생성 후 Powershell로 실행한다. 실행된 배치파일은 볼륨 쉐도우 복사본을 삭제하며 시스템 복원 기능을 무력화한다. 이후 ‘C:\ProgramData\eq_2100.exe’과 ‘시작프로그램\sys_stratup.exe’ 경로에 자가복사하여, 시스템 시작 시 자동실행되도록 설정한다. 자가 복제 후 [표..