잉카인터넷 시큐리티대응센터 블로그

은행 업데이트 프로그램으로 위장한 악성코드 유포 사례가 발견되었다. 공격자는 "Warsaw" 악성코드를 가짜 은행 업데이트 프로그램으로 위장하여 유포하였다. 사용자가 "Warsaw" 악성코드를 정상 프로그램으로 착각하여 실행한다면, 공격자의 서버로 연결하여 "Warsan RAT" 악성코드를 추가 다운로드하여 실행한다. "Warsan RAT" 악성코드는 공개된 소스코드에 Telegram 통신, 자동 실행 등의 기능을 추가한 것으로 알려졌으며, 공격자의 명령을 전달받아 추가 악성행위를 수행한다. Warsaw 악성코드 "Warsaw" 는 다운로더 악성코드로 은행 업데이트 프로그램으로 위장하여 유포되었다. 사용자가 업데이트 프로그램으로 착각하고 실행하면 ‘보안을 강화하기 위해 모듈을 업데이트 하라’ 라는 내용의..

와이퍼 악성코드란 감염된 컴퓨터의 하드 드라이브를 사용자가 사용할 수 없도록 의도된 악성코드이다. 와이퍼 악성코드는 금전이나 데이터 탈취의 목적이 아닌 주로 사용자가 PC를 이용할 수 없게 하고, 시스템을 복원할 수 없게 만드는 목적으로 유포된다. 최근 도쿄 올림픽 이슈를 악용하거나 새롭게 등장한 이란 해커 그룹이 이스라엘 정부를 목표로 와이퍼 악성코드를 유포한 사례들이 있었다. 아래의 링크는 자사 블로그에 게시된 "도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 공격"에 대한 보고서이다. 2021.07.28 - [분석 정보/악성코드 분석 정보] - 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 또한, 2021년 7월 9일, 이란의 열차 시스템이 Meteor 와이퍼 악성코드 공격을 받았다. 이번 공격으로 인해 한..

1. 악성코드 통계 악성코드 Top20 2021년7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 1,950 건이 탐지되었다. 악성코드 진단 수 전월 비교 7월에는 악성코드 유형별로 6월과 비교하였을 때 Trojan, Exploit, Virus, Worm 및 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 7월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 6월에 비해 감소한 추이를 보이고 있다. 2. 악성코드 동향 2021년 7월(7월 1일 ~..

1. 악성코드 통계 악성코드 Top20 2021년6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 23,886 건이 탐지되었다. 악성코드 진단 수 전월 비교 6월에는 악성코드 유형별로 5월과 비교하였을 때 Trojan, Exploit의 진단 수가 증가하였고, Virus, Worm 및 Backdoor의 진단 수가 감소하였다. 주 단위 악성코드 진단 현황 6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 5월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 20..

G Data 악성코드 분석가인 “Karsten Hahn”에 의해 루트킷 악성코드가 포함된 Netfilter 드라이버가 발견됐다. 해당 드라이버는 주로 게임 커뮤니티를 통해 유포되었으며, Microsoft의 서명이 포함된 파일로 확인됐다. MS측의 발표 내용에 따르면 중국 IP를 사용하는 C&C 서버와 통신하는 것으로 밝혀졌으며 해당 서버는 미국 국방부가 “Community Chinese Military” 라고 표기한 사이버 공격 그룹에 속하는 것으로 알려졌다. MS는 드라이버 제조 업체인 “Ningbo Zhuo Zhi Innovation Network Technology”와 협력하여 관련 내용을 패치 했으며 Windows Update를 통해 악성코드가 포함되지 않은 드라이버를 얻을 수 있다고 발표했다. ..

최근 "Molerats" 해커 그룹의 소행으로 추정되는 피싱 메일 공격이 발견되었다. 해당 해커 그룹은 TA402, Gaza Hacker Team, Gaza Cybergang 등의 이름으로도 불리우며, 2020년도에는 악성 PDF 파일을 통해 "SharpStage" 등의 악성코드를 유포한 것으로 알려졌다. 이번에 발견된 피싱 메일은 중동의 정부 기관을 대상으로 유포되었으며, 메일에는 가자 지구 분쟁과 같은 중동의 지정학적 문제와 관련된 내용과 함께 악성 PDF 파일이 첨부되었다. 악성 PDF 파일에는 파일을 다운로드 할 수 있는 링크가 포함되어 있으며, 이를 통해 정상 문서 파일처럼 위장한 "LastConn" 악성코드를 다운로드 후 실행하도록 유도한다. "LastConn" 악성코드는 "SharpStage..

사이버 범죄 서비스인 Malware-as-a-Service(MaaS)가 최근 들어 더욱 활발하게 모습을 나타내고 있어 주의가 필요하다. 그 중, Matanbuchus Loader는 새롭게 등장한 악성코드로 해당 악성코드는 원격지와 통신하며 사용자 정보를 탈취하고 그 외 추가적인 명령 및 제어 동작을 수행한다. 한 해킹 포럼에서 처음 광고되었으며 $2500 달러에 판매가 되었다. 해당 게시글을 작성한 BelialDemon은 이전에TriumphLoader를 개발하여 판매한 것으로 추정된다. 사진 출처: https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/ 엑셀 문서 파일을 통해 최초 유포되었으며, 최종 페이로드인 Matanbuchus.d..

2019년부터 백신 프로그램 탐지 회피 및 다양한 OS 사용자 타겟으로 공격이 가능하다는 이유에서 기존의 프로그래밍 언어가 아닌 GO 언어로 제작된 악성코드가 등장하기 시작했다. 최근에는 점차 GO 언어를 사용해 제작된 악성코드가 증가하고 있다. 2021년 2월경, 자사에서는 GO 언어로 제작된 "Electro RAT" 분석글을 게시하였으며 해당 글의 링크는 아래에 첨부되어 있다. 2021.02.09 - [악성코드 분석] ElectroRAT 악성코드 분석 보고서 최근 GO 언어로 제작된 새로운 악성코드 "Klingon RAT"이 등장했다. "Klingon RAT"은 백신 프로그램 종료를 시도하며 관리자 권한을 획득한다. 최종적으로 해당 악성코드는 C&C 서버를 이용해 정보를 탈취하고, 사용자의 PC를 제..

"RedLine Stealer" 는 정보탈취형 악성코드로 해커 포럼에서 판매중이며 크랙 버전도 발견되고 있다. 해당 악성코드는 코로나 19 이슈를 악용한 피싱 메일을 통해 처음 등장하였으며 정상 프로그램 위장, 피싱 페이지 등의 방식을 이용하여 유포된 사례가 지속적으로 발견되고 있다. 또한 최근에도 디지털 아티스트들에게 업무를 의뢰한다고 접근하여 "RedLine Stealer" 악성코드를 다운로드하고 실행을 유도한 사례가 발견되었다. 실행된 "RedLine Stealer" 악성코드는 브라우저, FTP 및 게임 프로그램 등 사용자 PC의 다양한 정보를 탈취한다. 최신 유포 사례 "RedLine Stealer" 악성코드는 2020년 3월 경 코로나 19 이슈를 악용한 피싱 메일 유포를 시작으로 피싱 웹 사이..

2014년에 처음 등장한 Gelsemium 사이버 공격 그룹은 정부, 대학교, 전자 제품 제조업체 및 종교 단체 등을 공격했다. 현재는 Gelsemium이 더욱 정교해진 백도어로 업데이트되어 서남아시아 및 동아시아를 주 타겟으로 공격하고 있으며 최근 PC용 안드로이드 에뮬레이터인 NoxPlayer로 위장해 백도어를 유포한 사례가 있다. 보안 기업 ESET에서는 "Gelsemine", "Gelsenicine", "Gelsevirine" 를 사용하여 백신 프로그램 탐지를 우회하고, 관리자 권한을 획득하는 등 더욱 정교해진 새로운 버전의 Gelsemium 백도어가 유포되고 있다고 발표했다. 출처 : https://www.eset.com/ca/about/newsroom/press-releases/eset-res..