잉카인터넷 1557

새로운 랜섬웨어 빌더 발견

최근 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 발견됐다. 빌더의 제작자는 빌더를 사용해 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하지만, 실제로 류크 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다. 지난 6월 11일, 한 악성 빌더 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다. 해당 빌더를 실행하면 [그림 2]의 화면이 나타나며 확장자, 프로세스 이름 변경 및 자동 실행 설정 등의 기능을 조작해 랜섬웨어를 만들 수 있다. [표 1]은 빌더에서 생성한 랜섬웨어와 제작자가 주장하는 류크 랜섬웨어를 비교한 표이며, 파일 암호화 후 변경하는 확장자와 랜섬노트에서는 유사점이 발견되지 않았다. 다음으로, 빌더에서 생성한 랜섬웨어는 류크 랜섬웨어에서 사용하는 A..

탈취한 고객정보로 가짜 Ledger 장치 발송

암호 화폐에 대한 관심이 상승하는 요즘, 암호화 하드웨어 지갑 제조업체인 Ledger 고객을 대상으로 정교한 방식의 피싱 공격이 발생하였다. Reddit을 통해 Ledger의 기기를 구매한 경험이 있는 사용자가 Ledger Nano X 장치처럼 보이는 가짜 기기를 우편으로 받았다는 글을 게시하였다. 해당 우편에는 보안상의 목적으로 새로운 장치를 사용하도록 유도하는 편지와 가짜 장치가 함께 동봉 되어있었다. 해당 기업은 작년, 사용자의 이름, 전화번호, 주소 등 고객 정보가 유출되는 사고가 발생한 바 있다. 사진 출처: https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/ 출처 [1] Bleepingc..

COVID-19 백신 무료 등록 사칭 악성 앱 주의

최근, 각 국가 별로 코로나 무료 접종이 확대되고 있는 가운데 이를 위장한 악성앱이 발견되어 주의가 필요하다. 해당 앱은 백신 무료 접종에 관한 내용을 이루고 있으나, 백신과 관계없는 앱으로 단말기의 전화번호를 읽어 자기 자신과 같은 파일을 SMS을 통해 전파하거나 광고성 배너를 출력하는 기능만 존재한다. Analysis 코로나로 사칭한 앱은 다음과 같이 단말기에 저장된 연락처에 접근하여 읽거나 SMS를 보내기 위해 권한을 요청한다. 그리고, 획득한 전화번호 중 제일 앞자리에 인도 국가를 나타내는 '91' 이 존재하는지 확인한다. 추가로 인도 지역을 나타내는 번호들을 대상으로 SMS를 전송하는 것을 확인할 수 있다. 인도에서 사용하는 단말기에 한해, 다음의 메시지를 유포한다. 메시지 내용은 아래와 같다...

제로데이 취약점을 사용한 PuzzleMaker

제로데이 취약점을 사용한 PuzzleMaker 최근 Google Chrome 및 Microsoft Windows의 제로 데이 취약점을 사용한 공격이 등장하였다. 해당 공격은 여러 기업을 타겟으로 하였으며, 아래의 흐름도와 같이 취약점을 통해 사용자 PC에 접근하여 시스템 프로세스에서 악성코드를 실행한다. 공격은 Google Chrome에서 시작된다. Chrome 웹 브라우저의 취약점은 Java Script 엔진인 V8의 유형 혼돈으로 인해 공격자가 만든 HTML 페이지로 샌드 박스 내에서 원격 코드 실행 (RCE)를 실행하는 취약점으로 CVE-2021-21224로 추정되지만, 정확한 스크립트는 발견되지 않았다. 그리고 CVE-2021-31955와 CVE-2021-31956로 지정된 Windows의 취약점..

변종으로 돌아온 모듈형 악성코드 Gelsemium

2014년에 처음 등장한 Gelsemium 사이버 공격 그룹은 정부, 대학교, 전자 제품 제조업체 및 종교 단체 등을 공격했다. 현재는 Gelsemium이 더욱 정교해진 백도어로 업데이트되어 서남아시아 및 동아시아를 주 타겟으로 공격하고 있으며 최근 PC용 안드로이드 에뮬레이터인 NoxPlayer로 위장해 백도어를 유포한 사례가 있다. 보안 기업 ESET에서는 "Gelsemine", "Gelsenicine", "Gelsevirine" 를 사용하여 백신 프로그램 탐지를 우회하고, 관리자 권한을 획득하는 등 더욱 정교해진 새로운 버전의 Gelsemium 백도어가 유포되고 있다고 발표했다. 출처 : https://www.eset.com/ca/about/newsroom/press-releases/eset-res..

Apple 제품 보안 업데이트 권고

개요 Apple 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - iOS v12.5.4 및 이후 버전 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36086 https://support.apple.com/en-us/HT201222 https://support.apple.com/ko-kr/HT212548

취약점 정보 2021.06.17

Avaddon 랜섬웨어 피해자 분석 결과 공개

Advanced Intel이 Avaddon 랜섬웨어 조직의 피해자에 대한 분석 결과를 공개했다. Advanced Intel이 공개한 보고서에 따르면 Avaddon 랜섬웨어 공격의 피해자가 가장 많은 국가는 미국과 캐나다 순이다. 이에 반해 러시아 또는 독립국가연합(CIS)에는 피해자가 없었다고 한다. 또한, Avaddon 랜섬웨어 조직은 소매업, 제조업 및 금융 순으로 공격 목표를 선정했으며, 이로 인한 해당 조직의 총 수입은 약 8,700만 달러에 달한다고 알려졌다. 출처 [1] advanced-intel (2021.06.16) - The Rise & Demise of Multi-Million Ransomware Business Empire https://www.advanced-intel.com/pos..

SEO Poisoning 기법을 사용하여 유포된 SolarMarker 악성코드

Microsoft 가 SEO Poisoning 기법을 사용하여 SolarMarker 악성코드를 유포한 사례에 대해 경고하였다. SEO Poisoning 은 검색 결과에서 더 높은 순위를 얻기 위해 인기 있는 키워드를 사용하여 웹 사이트를 만들고 해당 사이트에 사용자가 방문하도록 유도하는 공격 방식으로, 공격자는 이렇게 제작한 웹 사이트를 통해 SolarMarker 악성코드를 유포한 것으로 알려졌다. SolarMarker 는 백도어 악성코드로 Jupyter, Polazert 및 Yello Cockatoo 라는 이름으로도 알려져 있으며, 공격자의 명령을 전달받아 악성행위를 수행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1403461404879847435 출처..

Avaddon 랜섬웨어, 운영 중단

Avaddon 랜섬웨어 조직이 운영을 중단하고 암호 복호화 키를 공개했다. BleepingComputer 측은 FBI에서 보낸 것으로 위장한 익명의 제보를 받았으며, 비밀번호와 암호화된 ZIP 파일에 대한 링크가 포함되어 있었다고 알렸다. 보안회사 Emsisoft는 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 배포했다. 압축파일은 "AvaddonDecryptionKeys"라고 주장하는 아래 3개의 파일이 포함되어 있었으며, 해당 키를 보안업체 Emsisoft에 공유하여 테스트한 결과 Avaddon 랜섬웨어에 감염된 시스템을 복구할 수 있었다고 밝혔다. Emsisoft 측은 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 무료로 배포했으며, "최근 주요 사법기관의 조치로..

PayloadBIN 운영진 입장 발표

Evil Corp 사이버 공격 그룹의 후속 랜섬웨어로 지목됐던 PayloadBIN의 운영진이 자신들의 데이터 유출 사이트에 입장 발표글을 게시했다. PayloadBIN 운영진은 프랑스 보안 회사로부터 시작된 Evil Corp와 연관이 있다는 추측에 대해 반박했다. 또한, PayloadBIN은 그 어떤 사이버 그룹과 연관이 없으며 데이터 유출을 위한 독립적인 그룹이라고 밝혔다. 해당 게시글은 PayloadBIN 운영진이 직접 표명한 글일 뿐 Evil Corp 사이버 공격 그룹이 법적 제재를 피하기 위해 리브랜딩한 것에 대한 가능성은 열려있는 것으로 추측된다. 출처 : Payload.bin 데이터 유출 사이트