안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 하반기 발견된 Nemty 램섬웨어는 최근까지 이력서를 위장하여 기업으로 다량 유포되었습니다. 최근 세계적으로 코로나19 전파되고 있는 가운데 공격자는 이를 이용하여 사용자로 하여금 공격을 유도합니다. 그뿐만 아니라 기존과 다르게 코드를 변화시켜 백신 탐지 우회를 시도하였습니다. [그림] 파일 암호화 완료 후 바탕화면 변경 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 해당 랜섬웨어는 2019년 하반기부터 유포되었던 Nemty 랜섬웨어의 변종으로써 필요한 데이터와 감염 PC 정보 등을 저장하는 레지스트리가 동일합니다. 추가적으로 뮤텍스 값 등에서 러시아어를 이..

악성코드 분석 리포트 2020. 6. 16. 15:15

Thanos ransomware auto-spreads to Windows devices, evades security 연구원이 공개한 안티 랜섬웨어 회피 기술인 RIPlace 및 다양한 고급 기능을 사용하고 있는 첫 번째 랜섬웨어인 Thanos가 발견되어 주의가 필요합니다. Thanos는 2019년 10월 개인 배포를 시작했지만 2020년 1월 피해자가 Quimera 랜섬웨어에 대한 도움을 요청하기 전까지는 활발히 활동하지 않았습니다. 시간이 지남에 따라 이 랜섬웨어에 대한 도움을 요청하는 사용자들이 점점 늘어나기 시작했으며 이 랜섬웨어는 결국 Hakbit으로 식별되었습니다. Recorded Future의 새로운 보고서에 따르면, 이 랜섬웨어의 이름은 Thanos이며 지난 2월부터 러시안 해킹 포럼에서..

국내외 보안동향 2020. 6. 11. 09:57

New Avaddon Ransomware launches in massive smiley spam campaign 새로운 Avaddon 랜섬웨어가 스마일, 윙크 이모티콘이 포함된 전 세계 사용자들을 노리는 대규모 스팸 캠페인을 통해 Avvaddon 랜섬웨어가 배포되고 있는 것으로 나타났습니다. Avaddon은 이달 초 활동을 시작했으며, 해커와 악성코드 배포자를 적극적으로 모집해 다양한 방법으로 랜섬웨어를 확산시키고 있습니다. Avaddon 랜섬웨어는 지난 2월 Nemty 랜섬웨어의 러브레터 캠페인을 연상시키는 스팸 캠페인을 통해 배포되고 있습니다. 내 사진이 마음에 드시나요? 이메일은 "Your new photo?" 또는 "Do you like my photo?"와 같은 제목을 사용하고, 메일 내용에는..

국내외 보안동향 2020. 6. 9. 09:28

New Tycoon ransomware targets both Windows and Linux systems 2019년 12월부터 시작된 소프트웨어 및 교육 업계 중소기업을 노리는 타깃 공격을 통해 새로운 ‘인간 개입’ 랜섬웨어 변종이 확산되고 있는 것으로 나타났습니다. BlackBerry와 KPMG의 보안 연구원들이 Tycoon이라 명명한 이 랜섬웨어는 다중 플랫폼 자바 기반 악성코드로 윈도우 및 리눅스 기기를 모두 암호화하는 것이 가능합니다. Tycoon은 운영자가 인터넷에 노출된 취약한 RDP 서버를 통해 피해자의 네트워크에 침투한 후 “트로이화된 JRE(Java Runtime Environment) 빌드를 포함하고 있는 ZIP 압축파일”의 형태로 직접 배포합니다. Tycoon은 지난 6개월 동안 ..

국내외 보안동향 2020. 6. 8. 16:30

Hackers leak credit card info from Costa Rica's state bank Maze 랜섬웨어 운영자들이 코스타리카 은행 (BCR, Bank of Costa Rica)에서 훔친 신용카드 데이터를 공개했습니다. 이들은 매주 파일을 유출하겠다고 협박해 왔습니다. 이 해커들은 과거 코스타리카 은행을 해킹했다고 주장했었습니다. 해당 은행은 침입 사실을 부인했으며, 해커는 그들의 주장을 증명하기 위해 이같이 정보를 공개한 것으로 보입니다. 유출된 정보 중 유효한 번호도 발견돼 Maze 운영자들은 그들의 “유출” 사이트를 통해 코스타리카 은행 고객의 지불 카드 번호가 담긴 2GB 상당의 스프레드시트를 공개했습니다. 공격자들은 수익을 내기 위해 이 데이터를 활용하지 않을 것이기 때문에 공..

국내외 보안동향 2020. 5. 25. 09:12

Vigilante hackers target 'scammers' with ransomware, DDoS attacks 한 해커가 정의 구현을 위해 사기성 기업을 대상으로 랜섬웨어 및 DDoS 공격을 실행하고 있는 것으로 나타났습니다. 지난주 새로운 랜섬웨어인 MilkmanVictory가 발견되었습니다. 이 랜섬웨어의 배후에 있는 공격자 그룹은 사기꾼들을 공격하기 위해 이 프로그램을 개발했다고 밝혔습니다. ‘CyberWare’로 알려진 이 해킹 그룹은 BleepingComputer과의 대화에서 “대출 사기”를 저지르는 기업을 공격하기 시작했다고 밝혔습니다. 이들은 “대출” 서비스를 제공한다고 주장하지만, 고객이 먼저 돈을 지불하더라도 아무런 서비스를 받지 못합니다. 이 공격은 PDF 파일로 위장한 실행파일..

국내외 보안동향 2020. 5. 21. 14:30

Netwalker ransomware actors go fileless to make attacks untraceable 공격자들이 흔적을 남기지 않고 피해자를 Netwalker 랜섬웨어에 감염 시키기 위해 파일리스 악성코드 기술인 반사 DLL 인젝션(Reflected DLL injection)을 사용해온 것으로 나타났습니다. DLL 인젝션(DLL injection) 이란? 다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술로 공격자는 임의적인 코드를 삽입하여 시스템 함수 후출을 후킹하거나 보통 방식으로 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 있다. 반사 DLL 인젝션(Reflected DLL injection) 이란?DLL 인젝션(DLL injectio..

국내외 보안동향 2020. 5. 19. 14:00

FBI warns of ProLock ransomware decryptor not working properly 많은 랜섬웨어가 코로나바이러스 팬데믹 상황을 엄청나게 바빠진 의료 부문을 공격할 완벽한 기회로 삼고 있습니다. 그리고 ProLock 또한 이 대열에 합류했습니다. FBI는 이달 초 미국의 의료 기관, 정부, 금융 기관, 소매업 등을 노리는 새로운 공격 조직에 대한 경고를 발행했습니다. 제대로 작동하지 않는 복호화 툴 FBI는 랜섬웨어 공격자의 요구에 응하지 말 것을 권장합니다. 그들의 요구에 응할 경우, 더 많은 공격을 실행하도록 북돋아주는 꼴이 되기 때문입니다. ProLock의 복호화 툴이 제대로 동작하지 않아 복호화 툴 사용 시, 데이터가 손실되는 것으로 나타났습니다. 64MB보다 큰 파일..

국내외 보안동향 2020. 5. 19. 09:11