잉카인터넷 시큐리티대응센터 블로그

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..

NocryCryptor Ransomware 감염 주의 최근 ‘%USERPROFILE%’ 경로를 대상으로 파일을 암호화하는 “NocryCryptor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자에 따라 파일 감염 방식과 변경하는 확장자가 다르고, 바탕화면에 랜섬노트를 생성하여 50유로 상당의 비트코인을 요구하므로 사용자의 주의가 필요하다. “NocryCryptor” 랜섬웨어에 감염되면 바탕화면에 “CryptoJoker Recovery Information.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 감염된 컴퓨터에서의 파일 암호화는 ‘%USERPROFILE%’ 경로를 대상으로 진행되며 암호화된 파일은 [그림 2]와 같이 “.fully.nocry” 또는 “partia..

1. 개요 및 분석 정보 1-1. 개요 최근 디스코드에서 제공하는 웹훅을 악용하여 디스코드 사용자의 데이터를 훔치는 “TroubleGrabber” 악성코드가 발견되었다. 디스코드(Discord)는 게임상에서 음성 채팅을 위해 제작된 프로그램으로 약 2억 명 이상의 사용자가 있으며, 자체적으로 웹훅(Webhook) 기능을 제공한다. 웹훅은 서버에서 작업이 발생했을 때 그 정보를 외부에 전달하는 방식을 의미하며, 디스코드에서는 이 기능을 이용하여 원하는 정보를 메시지로 받을 수 있다. 이번에 발견된 "TroubleGrabber"는 디스코드에서 제공하는 웹훅을 악용하여 사용자 PC에서 정보를 탈취하는 데 사용하며, 추가로 특정 버전에서는 디스코드 클라이언트 파일을 수정하여 사용자가 로그인할 때마다 공격자에게 ..

Fonix Ransomware 감염 주의 최근 "Fonix” 랜섬웨어가 발견되었다. ‘Fonix’ 랜섬웨어는 특정 파일 및 폴더를 제외한 모든 파일에 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 몸값을 요구한다. 또, 사용자가 PC를 다시 복구할 수 없도록 하며 중요한 윈도우 OS폴더를 제외한 모든 확장자를 대상으로 암호화가 이루어지므로 사용자의 주의가 필요하다. “Fonix” 랜섬웨어에 감염되면 [표 1]의 해당 랜섬웨어와 관련된 파일 및 중요한 윈도우 OS폴더를 제외한 모든 확장자의 파일이 암호화 된다. 암호화 이후 로컬 드라이브의 이름을 XINOF로 바꾸고, 감염된 파일명의 확장자 뒤에 “.Email=[Email Address]ID=[UserID].XINOF” 라는 이름의 확장자를 덧붙인다...

지난 2019년에 최초로 등장한 ‘Matiex Keylogger’가 최근 다시 모습을 드러내고 있다. 해당 악성코드는 유료 악성코드로서 온라인에서 판매 중이며, 사용자의 개인정보를 탈취하는 등 다양한 악성 동작을 보유하고 있어 주의가 필요하다. 이번 보고서에서는 ‘Matiex Keylogger’ 의 주요 악성 동작에 대해 알아본다. 해당 악성코드는 사용 가능한 기간에 따라 가격대는 다양하며, 누구나 쉽게 접할 수 있도록 설계되어있다. ‘Matiex Keylogger’가 실행되면 사용자의 PC 정보를 획득한 뒤, 텍스트 파일로 생성한다. 위와 같이 생성된 파일의 내용을 C2 서버에 전송한다. 사용자 PC의 정보를 탈취한 뒤, 다양한 사용자 계정 정보를 탈취한다. Outlook 을 사용중인 사용자라면 아래의..

1. 개요 최근 마이크로소프트의 윈도우, 오피스 제품에 대한 불법 정품인증 툴인 ‘KMSAuto’로 위장한 악성코드 유포 사례가 발견되었다. 해당 샘플은 SFX 형태의 압축파일로 내부에는 정품인증을 위한 ‘KMSAuto Net.exe’, 감염 PC의 네트워크 정보를 획득하기 위한 ‘script.vbs’ 및 정보를 탈취하는 ‘build.exe’가 있다. 만약, 사용자가 비밀번호를 정상적으로 입력한 후, OK 버튼을 누르면 “C:\Program\Data” 에 3개의 파일이 드롭된다. 첫 번째 드롭 파일은 KMSAuto Net.exe v1.5.1 크랙판(KMSAuto Net.exe)이고, 두 번째 드롭 파일은 IP Logger를 사용하여 감염 PC의 네트워크 정보를 수집하는 스크립트 파일(script.vbs)..

악성코드 분석보고서 1. 7월 랜섬웨어 동향 2020년 7월(7월 01일 ~ 7월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 아르헨티나 인터넷 서비스 제공 업체인 ‘Telecom Argentina’, 메릴랜드 주의 ‘Lorien Health’가 각각 ‘REvil’, ‘NetWalker’ 랜섬웨어에 공격을 받았다. 또한, 프랑스 통신 회사 ‘Orange’가 ‘Nefilim’ 랜섬웨어 공격을 받았으며, 이들의 공통점은 랜섬웨어 감염과 더불어 정보 유출을 당했다는 점이다. 이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 ‘RandomRansom’ 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 아르헨티나 인터넷 서비스 제공 업체..

Zeoticus 랜섬웨어 새롭게 발견 된 Zeoticus 랜섬웨어 감염 주의 1. 개요 최근 모든 파일을 암호화 시키는 Zeoticus 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 12월 30일경 처음 발견 되었으며, 아직 구체적인 피해사례는 알려지지 않았다. 그러나, 새롭게 발견 된 랜섬웨어인 만큼 사용자들은 PC 사용에 있어 관심과 주의가 필요하다. 이번 보고서에는 최근에 새롭게 발견 된 Zeoticus 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Zeoticus 랜섬웨어 실행 시, 원본파일을 시스템 재부팅 후에도 자동으로 실행 되도록 레지스트리에 등록..

Somik 랜섬웨어 새로 등장한 Somik Ransomware 감염 주의 1. 개요 최근 등장한 “Somik” 랜섬웨어는 “somik1.exe” 파일명으로 발견되었으며, 여러 개의 랜섬노트를 통해 감염사실을 통보한다. 해당 랜섬웨어는 B, C, D 드라이브와 사용자들이 일반적으로 사용하는 EXE, TXT 확장자 파일을 암호화 하여 정상적인 PC 사용을 방해하고 있기 때문에 주의가 필요하다. 이번 보고서에서는 “Somik” 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Somik” 랜섬웨어 실행 시, 해당 랜섬웨어가 중복 실행 되었다면 알림 창을 띄우고 프로그램을 종료시킨다. 중복 실행되지 않았다면, 사용자 PC 정보를 검색한 뒤 C, B, D 드라이버의 파일을..

1. 12월 랜섬웨어 동향 2019년 12월(12월 01일 ~ 12월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 공정거래위원회를 사칭하여 Nemty 랜섬웨어가 스팸메일을 통해 유포 되었다. 해외에서는 미국 데이터센터 서비스 제공업체인 CyrusOne이 랜섬웨어 공격을 받았으며, 미국 플로리다 주 Pensacola 시가 랜섬웨어 공격으로 이메일, 전화 등 일부 시스템이 마비된 사건이 있었다. 이번 보고서에서는 12월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 12월 등장한 Mespinoza 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 공정거래위원회 사칭, 랜섬웨어 유포 사례 12월 30일, ‘공정거래위원회’를 사칭하여 Nemty 랜섬웨어가 유포 되었..