안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
7월 2일, Sodinokibi(REvil) 랜섬웨어 해킹 조직이 미국 IT관리용 솔루션 제공 업체인 Kaseya의 VSA(원격 모니터링 및 관리 소프트웨어) 서버의 제로데이 취약점을 통해 랜섬웨어를 유포, 전 세계에서 약 1500명의 피해자가 발생하였습니다.
이러한 틈을 타, Kaseya 랜섬웨어가 악용한 취약점 패치를 위장한 악성 메일이 유포 중에 있어 사용자들의 주의가 필요합니다.
현재 유포되고 있는 악성 메일은 MS에서 이번 Kaseya 랜섬웨어가 악용한 취약점의 보안 패치를 위장하고 있습니다.
악성 메일에는 MS 보안 업데이트를 하라는 내용과 함께 링크가 포함되어 있습니다. 포함되어 있는 URL은 Kaseya 보안 패치처럼 보이지만, 실제로 링크를 클릭하면 공격자가 설정해놓은 특정한 서버로 접속하여 SecurityUpdates 이름을 가진 악성 실행 파일을 내려받습니다.
악성 파일이 실행되면 C&C에 접속하여 감염 PC 정보를 전송 한 후 명령제어 기능을 수행합니다.
현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.CobaltStrike로 탐지 중에 있습니다.
Babuk 랜섬웨어 Builder 분석 (0) | 2021.07.12 |
---|---|
'중요 업데이트'를 위장하여 유포중인 혹스(Hoax)메일 주의! (0) | 2021.07.12 |
ESRC 주간 Email 위협 통계 (6월 다섯째주) (0) | 2021.07.06 |
북한 탈륨 그룹, 구글 블로그 이용한 해킹 공격 수행 (0) | 2021.07.01 |
ESRC 주간 Email 위협 통계 (6월 넷째주) (0) | 2021.06.29 |
댓글 영역