잉카인터넷 시큐리티대응센터 블로그

최근, 이메일 캠페인에서 “Phorpiex” 봇넷을 이용해 “LockBit” 랜섬웨어를 유포하는 정황이 발견됐다. 공격자는 이메일에 EXE 파일을 포함한 ZIP 파일을 첨부해 이번 캠페인에서 사용했다. 사용자가 EXE 파일을 실행하면 “Phorpiex” 봇넷의 인프라에서 “LockBit” 랜섬웨어 페이로드가 다운로드 된다. 이후, 랜섬웨어 페이로드는 시스템을 장악해 데이터를 탈취하고 파일을 암호화하는 등의 공격을 수행한다. 보안 업체 Proofpoint 측은 이번 캠페인에서 사용된 “Phorpiex” 봇넷이 대용량 이메일 캠페인에서 악성코드를 전달하는 봇넷이라고 설명했다. 또한, 이를 악용하면 캠페인의 규모가 커지고 랜섬웨어 공격의 성공 확률이 높아진다고 언급했다. 사진 출처 : Proofpoint 출처..

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..