잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 12월 10일부터 2021년 12월 16일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "NRCL"외 1건, 변종 랜섬웨어는 "GlobeImposter"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 Log4j에서 발견된 제로데이 취약점을 사용해 “Khonsari” 랜섬웨어를 유포한 이슈가 있었다. 2021년 12월 10일 NRCL 파일명에 ".NRCL" 확장자를 추가하고 "note.txt"라는 랜섬노트를 생성하는 "NRCL" 랜섬웨어가 발견됐다. 2021년 12월 12일 GlobeImposter 파일명에 ".xls" 확장자를 추가하고 "read-me.txt"라는 랜섬노트를 생성하는 "GlobeImposter" 랜섬웨어의 변종이 발견됐다...

잉카인터넷 대응팀은 2021년 11월 26일부터 2021년 12월 02일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Rook"외 3건, 변종 랜섬웨어는 "Karma"외 1건이 발견됐다. 2021년 11월 27일 Karma 랜섬웨어 파일명에 ".KARMANKA" 확장자를 추가하고 "KARMANKA-CYPHEREDDD.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 [그림 1]과 같이 바탕화면 배경을 변경한다. 2021년 11월 28일 TOHNICHI 랜섬웨어 파일명에 ".brg" 확장자를 추가하고 "How to decrypt files.txt"라는 랜섬노트를 생성하는 "TOHNICHI" 랜섬웨어의 변종이 발견됐다. 2021년 ..

최근, 러시아어를 사용하는 다크웹 포럼에 한국인 개인정보 판매글이 게시됐다. 판매자는 7억건의 개인정보를 판매한다고 언급하며 판매하는 데이터에 ID, 이름, 주민등록번호 및 휴대폰 번호 등의 주요 개인정보가 있다고 밝혔다. 게시자가 공개한 데이터에는 [그림 2]와 같이 5개의 웹사이트와 갬블 사이트에서 탈취한 정보가 있었다. 또한, 각 엑셀 파일들에서는 ID, 비밀번호 등의 회원정보와 주민등록번호 및 휴대폰 번호 등의 개인정보가 확인됐다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다. 더불어 사이버 공격으로 인한 데..

최근 익명의 공격자가 워드프레스(WordPress)로 제작된 정상 사이트를 랜섬웨어에 감염된 것으로 위장해 랜섬머니를 요구하는 사건이 발생했다. 이번 사건의 공격자는 웹사이트에서 사용하는 워드프레스 플러그인을 수정해 블로그 게시물의 게시 상태를 변경했다. 또한, 웹사이트가 랜섬웨어에 감염된 것처럼 위장하기 위해 랜섬노트를 띄우고 0.1 BTC의 랜섬머니 지불을 요구했다. 보안 업체 Sucuri는 공격자가 다크웹 시장에서 획득한 자격 증명을 악용해 관리자로 로그인했을 것이라고 언급하며, 워드프레스 관리자 대시보드(WP Admin)에서 계정 관련 정보의 재검토를 권고했다. 사진 출처 : Sucuri 출처 [1] Sucuri (2021.11.17) – Fake Ransomware Infection Spooks..

최근 코발트 스트라이크(Cobalt Strike)를 다운로드 받아 실행하는 "Squirrelwaffle" 악성코드가 발견됐다. 해당 악성코드는 다운로드 받은 코발트 스트라이크를 사용해 추가 파일을 다운로드 받아 사용자 정보 탈취 등의 행위를 수행한다. "Squirrelwaffle" 악성코드를 사용해 사용자 PC에서 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다. 1. 악성 문서를 실행하면 문서에 포함된 매크로를 실행해 VBS 파일과 파워쉘(PowerShell) 스크립트를 생성한다. 2. 이전 단계에서 생성한 스크립트를 실행해 공격자의 C&C 서버에서 악성코드를 다운로드 및 실행한다. 3. 다운로드한 악성코드는 최종 페이로드 다운로드를 위한 코발트 스트라이크를 다운로드 및 실행한다. 4. 코발..