PSA: Onyx ransomware destroys large files instead of encrypting them MalwareHunterTeam은 최근 Onyx라는 새로운 랜섬웨어를 발견하였습니다. Onyx 랜섬웨어 공격자는 다른 랜섬웨어와 마찬가지로 파일 암호화 전 네트워크에서 데이터를 훔칩니다. 그 후, 랜섬머니를 지불하지 않으면 데이터를 공개하겠다고 협박합니다. 데이터 유출 사이트에는 현재까지 6명의 희생자가 공개되었습니다. 하지만 Onyx는 200MB미만의 파일만 암호화 하고, 200MB보다 큰 파일의 경우 임의의 데이터로 덮어씁니다. 이는 무작위로 생성된 데이터를 이용하여 덮어쓰기 때문에, 200MB를 초과하는 파일의 경우 복호화 할 수 있는 방법이 없습니다. 즉, 피해자가 랜섬머니를..

국내외 보안동향 2022. 4. 28. 15:50

Conti ransomware operations surge despite the recent leak Secureworks의 연구원들이 러시아에 기반을 둔 공격자인 Gold Ulrick으로 추적되는 Conti 랜섬웨어 그룹이 최근 내부 활동에 대한 데이터가 유출되었음에도 불구하고 여전히 계속해서 활동하고 있다고 밝혔습니다. 이 그룹의 활동은 2021년 정점을 찍었던 수준으로 되돌아갔습니다. 해당 그룹은 이들의 통신, 소스코드, 운영 세부 정보가 공개된 것에 대해 신속히 대응했습니다. Secureworks Conter Threat Unit(CTU)에서는 아래와 같이 밝혔습니다. "2022년 2월 Conti의 누출 사이트에 등록된 피해자의 수가 증가했습니다. 2월 27일, 트위터 계정 @ContiLeaks..

국내외 보안동향 2022. 4. 28. 14:00

Linux Nimbuspwn flaws could allow attackers to deploy sophisticated threats 마이크로소프트의 365 Defender 연구 팀이 두 가지 Linux 권한 상승 취약점(CVE-2022-29799, CVE-2022-29800)으로 이루어진 "Nimbuspwn"을 발견했습니다. 마이크로소프트는 권고를 통해 아래와 같이 밝혔습니다. "이 취약점을 함께 연결해 리눅스 시스템에서 루트 권한을 얻을 수 있어, 공격자가 루트 백도어와 같은 페이로드를 배포하고 임의 루트 코드 실행을 통해 기타 악성 공격을 수행할 수 있습니다." 이 취약점은 공격자가 타깃 시스템에 대한 루트 접근 권한을 얻고, 랜섬웨어 등 보다 정교한 공격을 실행하기 위해 약용이 가능합니다. 이 ..

국내외 보안동향 2022. 4. 28. 09:00

Stormous ransomware gang claims to have hacked Coca-Cola Stormous 랜섬웨어 그룹이 그들의 유출 사이트에 글로벌 음료 회사인 Coca-Cola Company를 해킹했다고 발표했습니다. 이 해킹 그룹은 회사의 일부 서버를 해킹한 후 161GB에 달하는 데이터를 훔쳤다고 밝혔습니다. 이 해킹 그룹은 최근 텔레그램 채널 회원들에게 다음 타깃 회사를 선택하도록 요청하는 설문 조사를 진행했으며, 그 결과 코카콜라가 가장 많은 표를 받았습니다. 해당 해킹 그룹은 공지를 통해 아래와 같이 알렸습니다. “대규모 음료회사(코카콜라)가 투표로 선정되었기 때문에, 이들의 그들의 서버 중 일부를 해킹하고 161GB의 데이터를 훔쳤습니다.” “다크 웹의 우리 자체 웹사이트에 스..

국내외 보안동향 2022. 4. 27. 14:00

Public interest in Log4Shell fades but attack surface remains Apache Log4j에 존재하는 취약점 Log4shell이 발견된지 4개월이 지났습니다. 하지만, Rezilion이 공개한 보고서에 따르면, 여전히 많은 제품들이 해당 취약점에 영향을 받고 있는 것으로 나타났습니다. 보고서에 따르면, Log4shell은 여전히 많은 SW에 존재하고 있다고 밝혔습니다. Sonatype의 Log4j Download Dashboard를 살펴보면, 약 40%의 꾸준한 비율이 4월 말에도 취약한 Log4j 버전을 다운로드하고 있는 사실을 알 수 있습니다. 구글의 오픈소스 인사이트 데이터를 보면, Log4j에 의존해서 사용하는 오픈소스 패키지의 17,804개 중 7,14..

국내외 보안동향 2022. 4. 27. 11:35

Emotet malware now installs via PowerShell in Windows shortcut files Emotet 봇넷이 피해자를 감염시키기 위해 더 이상 기본적으로 비활성화된 Microsoft Office 매크로를 사용하지 않고, PowerShell 명령이 포함된 윈도우 바로 가기 파일(.LNK)을 사용하기 시작했습니다. Emotet은 페이로드를 다운로드하는 명령을 빌드하기 위해 VBS(Visual Basic Script) 코드와 함께 .LNK 파일을 사용했기 때문에, 이는 새로운 전략은 아닙니다. 하지만 윈도우의 바로가기를 통해 직접 PowerShell 명령어를 실행한 것은 이번이 처음입니다. 캠페인 실패 이후 새로운 기술 도입해 지난 금요일, Emotet의 운영자는 악성 .LN..

국내외 보안동향 2022. 4. 27. 09:00

Quantum ransomware seen deployed in rapid network attacks 2021년 8월에 처음 발견된 Quantum 랜섬웨어 변종이 피해자에게 대응할 시간을 거의 주지 않는 신속한 공격을 수행하는 것으로 나타났습니다. 공격자는 IcedID 악성코드를 초기 액세스 벡터 중 하나로 사용하며, 공격은 원격 접근을 위해 Cobalt Strike를 배포하고, Quantum Locker를 통한 데이터 도난 및 암호화로 이어집니다. Quantum 랜섬웨어 공격을 분석한 DFIR 연구원은 해당 공격이 초기 감염에서 기기 암호화 완료까지 약 3시간 44분 걸렸다고 밝혔습니다. IcedID를 초기 액세스로 사용해 DFIR의 보고서에 따르면, 공격은 IcedID 악성코드를 타깃 시스템에 대한..

국내외 보안동향 2022. 4. 26. 14:00

Emotet malware infects users again after fixing broken installer Emotet은 악성 파일이 첨부된 스팸 메일을 통해 유포됩니다. 사용자가 첨부되어 있는 파일을 실행하면 파일 내 포함되어 있던 악성 매크로나 스크립트가 실행되며 Emotet DLL을 내려받아 메모리에 로드됩니다. 메모리에 로드 되면, 이 후 스팸공격에 사용할 이메일을 검색 및 탈취하며, 기타 악성코드들의 페이로드를 삭제합니다. 첨부파일에 존재하는 버그로 Emotet 캠페인 중단돼 지난 금요일부터, Emotet 공격자는 워드파일로 위장한 Windows LNK 파일을 비밀번호 설정되어 있는 형태로 압축한 후, 이메일에 첨부하여 유포하기 시작하였습니다. 사용자가 해당 LNK 파일을 실행하면, 다..

국내외 보안동향 2022. 4. 26. 11:11