잉카인터넷 시큐리티대응센터 블로그

지난 2월경, AutoHotKey(AHK) 스크립트 언어를 기반으로 만든 실행 파일을 통해 악성코드를 유포시키는 캠페인이 등장했으며 현재까지 더욱 정교한 공격을 위해 패치를 거듭하고 있다. AutoHotKey 스크립트는 매크로를 정의하여 사용할 수 있도록 해 주는 유틸리티로 해당 캠페인에서 vbs 파일을 삽입해 페이로드를 드랍하고, 실행한다. 악성 페이로드는 사용자가 알아차릴 수 없도록 파일의 형체가 없는 파일리스 형태로 실행되어 감염 사실을 숨긴다. 해당 캠페인을 이용하여 유포된 RAT에는 "Revenge RAT", "Async RAT", "Houdini RAT", "Vjw0rm"이 있다. 또한, 캠페인에는 "AHK 로더 공격 방식", "PowerShell 공격 방식", "HCrypt 공격 방식"이 존..

Microsoft는 새로운 악성코드 로더를 사용하여 다양한 RAT 악성코드를 배포한 스피어 피싱 캠페인에 대해 경고하였다. 공격자들은 항공우주 및 여행 업체를 대상으로 피싱 이메일을 보냈으며, 이메일에 첨부된 가짜 PDF 파일을 다운로드하도록 유도하여 악성코드를 유포하였다. 새로 발견된 악성코드 로더는 Morphisec의 연구원에 의해 Snip3 라는 이름으로 명명되었으며, 해당 로더를 통해 Revenge RAT, AsyncRAT, Agent Tesla 및 NetWire RAT 등의 악성코드를 실행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1392219299696152578 출처 [1] Bleeping Computer (2021.05.13) - Micro..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..