잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 78건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 77건으로 두번째로 많이 발생했다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 42%로 가장 높은 비중을 차지했고, 독일이 6%, 프랑스와 이탈리아가 5%로 그 뒤를 따랐다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제..

최근, 마이크로소프트는 HTML Smuggling 기법을 활용해 페이로드를 배포하는 피싱 공격이 급증하고 있다고 언급했다. 해당 공격은 메시지에 첨부된 링크 또는 HTML 파일을 실행해 JavaScript 코드를 동작 시키며 뱅킹형 악성코드나 RAT등 추가적인 악성코드를 다운 및 실행한다. 마이크로소프트는 해당 공격을 효과적으로 방어하기 위해 스크립트 파일의 자동 실행을 방지하거나 오피스 365 디펜더 사용을 권고했다. 출처 [1] Microsoft (2021-11-15) - HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks https://www.microso..

우크라이나 보안국(SSU)는 모바일 기기 원격 해킹을 전문적으로 수행하는 국제 해킹 그룹 "피닉스"의 구성원 5명을 체포했다. 해커 그룹 "피닉스"의 목적은 사용자의 계정에 원격으로 액세스한 후 전자 결제 및 은행 계좌를 탈취하거나 사용자 정보를 판매하여 수익을 창출하는 것이다. 해당 그룹은 이번 공격을 위해 모바일 로그인 포털로 위장한 피싱 사이트를 만들었으며 2년동안 수백명의 사용자 계정을 탈취한 것으로 밝혀졌다. 사진 출처 : SSU 출처 [1] SSU (2021.11.30) - SSU exposes transnational group that hacked phones, stole passwords and sold confidential information https://ssu.gov.ua/en/..

최근 코로나 백신 제조업체를 공격하는 Tardigrade 악성코드가 발견됐다. 2021년 4월에 첫번째 공격이 탐지되었으며 그 후 6개월 뒤인 2021년 10월경 두번째 시설의 피해가 나타났다. 피해 업체 두 곳 모두 코로나 백신을 제조하는 업체이며 이번 공격에 대해 분석 중이라고 밝혔다. Tardigrade 악성코드는 실행 시 업체의 중요한 정보를 탈취하고, 공격자의 명령을 통해 제어할 수 있다. 이로 인해 감염된 PC에 랜섬웨어를 다운로드한 후 실행하여 최근 중요해진 코로나 백신 생산을 방해하고, 금전 탈취를 시도한다. 출처 [1] Wired (2021.11.30) - Devious ‘Tardigrade’ Malware Hits Biomanufacturing Facilities https://www...

국가의 지원을 받는 해킹 그룹 APT37은 Windows 및 Android 기기를 감염시킬 수 있는 Chinotto 악성코드를 유포하기 시작했다. 해당 악성코드는 피싱 메일이나 스미싱 공격을 통해 유포되고 있으며 현재 한국의 언론인, 탈북자, 인권 활동가를 표적으로 삼고있다. 악성코드가 실행되면 사용자의 PC에서 정보를 탈취하고, 공격자의 C&C 서버에 연결해 전송한다. 또한, 공격자의 서버에서 명령을 받아 감염된 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.11.30) - ScarCruft surveilling North Korean defectors and human rights activists https://secu..

2021년 11월경, 새롭게 등장한 Midas 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "규칙", "랜섬웨어 정보", "Midas 랜섬웨어 그룹에 대한 정보"가 작성돼 있다. 게시된 글에 따르면 자신들은 어떠한 정부단체에도 속해 있지 않으며 정치적 목표를 추구하지 않고, 단지 이윤만을 위해 데이터를 탈취한다고 한다. 사이트에 게시된 데이터는 현재까지 총 26건으로 다양한 국가와 산업군의 데이터를 탈취한 것으로 보인다. [사진 출처: 다크웹]

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..

잉카인터넷 대응팀은 2021년 11월 19일부터 2021년 11월 25일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BoomBye" 외 2건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 2021년 11월 19일 BoomBye 랜섬웨어 파일명에 ".boombye" 확장자를 추가하고 "_read_me_bro.txt"라는 랜섬노트를 생성하는 "boombye" 랜섬웨어가 발견됐다. 2021년 11월 21일 FileDecrypt 랜섬웨어 파일명에 ".file.decrypt" 확장자를 추가하고 "#File.decrypt#.txt"라는 랜섬노트를 생성하는 "FileDecrypt" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 11월 24일 ..

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시..

최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다. Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다. 2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다. 3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다. 4. 이전 단계에..