잉카인터넷1655 과학기술정보통신부, 랜섬웨어 대응 지원반 운영 과학기술정보통신부는 랜섬웨어 침해사고를 예방하고 사고 발생 시 신속한 대응을 위한 "랜섬웨어 대응 지원반"을 설치하여 운영한다고 밝혔다. 최근 배달 대행 플랫폼 기업이 공격을 받아 피해를 입은 사례와 같이 국내외 기업을 대상으로 랜섬웨어 침해사고가 집중적으로 발생하고 있다. 따라서 과학기술정보통신부는 랜섬웨어 공격자의 협상에 응하지 말고 침해사고 신고를 통해 시스템 복구 등의 기술지원을 받을 것을 권고하였다. 사진 출처 : https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&bbsSeqNo=94&nttSeqNo=3180261 출처 [1] 과학기술정보통신부 (2021-05-20) - 과기정통부, ‘랜섬웨어 대응 지원반’ 구성·운영 https://.. 2021. 5. 20. [주간 랜섬웨어 동향] – 5월 3주차 잉카인터넷 대응팀은 2021년 5월 14일부터 2021년 5월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Sick” 외 3건, 변종 랜섬웨어는 “Nefilim” 외 3건이 발견됐다. 이 중, 연결된 네트워크를 감염할 수 있는 기능이 추가된 “MountLocker” 랜섬웨어가 발견됐고, 미 당국이 “DarkSide” 랜섬웨어 조직의 자원을 모두 압수해 해당 조직의 운영이 중단됐다. 2021년 5월 14일 Nefilim 랜섬웨어 파일명에 “.NEFILIM“ 확장자를 추가하고 “NEFILIM-HELP.txt"라는 랜섬노트를 생성하는 "Nefilim" 랜섬웨어의 변종이 발견됐다. 2020.03.27 - [랜섬웨어 분석] Nefilim 랜섬웨어 2021년 5월 17일 .. 2021. 5. 20. 미국 은행을 사칭한 스피어 피싱 캠페인 최근 FBI에서 미국 내에서 6번째로 큰 은행인 Truist Bank로 위장한 스피어 피싱 캠페인을 발견하였다. 지난 2021 년 2 월 재생 에너지 회사를 표적으로 한 공격 중 하나로 정상적인 Truist Financial SecureBank 앱을 모방 한 악성 Windows 앱을 다운로드하도록 유도하였다. 다운로드되는 악성 앱은 키로거, 스크린샷 캡처 및 DNS, HTTP 등 네트워크 통신을 비롯하여 다운로더 등의 악성 기능을 가지고 있다. 해당 스피어 피싱 캠페인에서 MayBank 나 Cumberland Private과 같은 다른 미국 및 영국의 금융기관을 사칭한 메일도 발견되었다. 출처 [1] Bleepingcomputer (2021.05.20) – FBI spots spear-phishing p.. 2021. 5. 20. 랜섬웨어 광고를 금지한 해커 포럼 유명 해커 포럼들이 최근 랜섬웨어의 광고를 금지하였다. 해커포럼 XSS 가 랜섬웨어 광고를 금지하겠다고 발표했다. 이번 조치는 DarkSide로 알려진 랜섬웨어 조직이 Colonial Pipeline의 네트워크를 암호화 한 사건 이후, 법 집행 기관의 관심을 회피하기 위한 시도인 것으로 알려졌다. XSS 포럼의 발표 하루 뒤, 또 다른 해커 포럼인 Exploit 관리자는 "포럼에 RaaS 프로그램이 존재하는것이 적절하지 않다. 모든 제휴프로그램을 제거하고 랜섬웨어 광고를 금지하기로 결정했다."고 알렸다. 사진 출처 : 해커 포럼 XSS 출처 [1] Security Affairs (2021.05.18) - Major hacking forums XSS and Exploit ban ads from ransom.. 2021. 5. 18. RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드 "RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다. 최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다. RoyalRoad "RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 .. 2021. 5. 18. ICMP Tunneling 기법을 사용하는 PingBack 악성코드 최근 침입차단시스템을 우회하기 위해 ICMP 패킷에 데이터를 추가해 공격자와 통신하는 "PingBack" 백도어 악성코드가 발견됐다. 해당 악성코드는 MSDTC 서비스가 로드하는 DLL로 위장한 후 DLL 하이재킹을 이용해 사용자의 컴퓨터에서 실행하며, 공격자는 명령어가 포함된 ICMP 패킷을 감염된 컴퓨터에 보내 악의적인 행위를 수행한다. "PingBack" 악성코드는 사용자의 컴퓨터에 백도어를 설치하기 위해 [그림 1]과 같이 MSDTC 서비스가 로드하는 "oci.dll"로 위장한다. MSDTC(Microsoft Distributed Transaction Coordinator) 서비스는 여러 시스템에 분산된 트랜잭션을 처리하기 위해 사용하며, "oci.dll"은 오라클 데이터베이스를 조작하는데 사용하.. 2021. 5. 18. 이전 1 ··· 190 191 192 193 194 195 196 ··· 276 다음
