Shamoon Disk-Wiping Malware Re-emerges with Two New Variants 데이터 파괴형 악성코드인 Shamoon의 샘플 2개가 실제 공격에서 발견 되었습니다. 이는 Shamoon이 활동을 중지한지 약 2년만입니다. Shamoon은 2012년 사우디의 아람코(Aramco) 석유 생산 회사를 노린 공격에서 처음 발견되었습니다. 당시 이 악성코드는 아람코의 컴퓨터 시스템 35,000대 이상의 데이터를 삭제했습니다. 4년 후, 이는 2017년 1월까지 지속 된 동일한 지역의 민간 조직을 노린 공격에서 또 다시 발견 되었습니다. 이전 트리거 날짜가 포함 된 샘플 구글의 모회사인 Alphabet Inc.의 Chronicle 연구팀이 Bleeping Computer에 보낸 보고서에..

국내외 보안동향 2018. 12. 14. 14:53

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

Satan Ransomware Variant Exploits 10 Server-Side Flaws 2년 전 처음 등장한 랜섬웨어의 새 버전이 윈도우와 리눅스 서버 플랫폼의 취약점 10개를 악용하여 확산될 수 있는 것으로 나타났습니다. 이 새로운 악성코드의 이름은 “Lucky”이며, Satan의 변종입니다. Satan은 서비스형 랜섬웨어(RaaS)의 형태로2017년 1월 출시 되었습니다. Satan과 마찬가지로, Lucky 또한 행동 및 사람의 조작 없이도 스스로 확산될 수 있다는 점이 웜과 유사합니다. 보안 업체인 NSFocus는 지난 11월 말 금융 서비스를 이용하는 고객들의 시스템에서 이 변종을 발견했으며, 전 세계적으로 광범위한 감염을 일으킬 수 있다고 설명했습니다. 이 악성코드는 Windows S..

국내외 보안동향 2018. 12. 12. 09:30

New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs 새로운 랜섬웨어가 중국에서 급격히 확산 되고 있습니다. 이는 공급망 공격을 통해 지난 4일간 10만대 이상의 컴퓨터를 감염시켰으며, 피해자는 매 시간마다 증가하고 있는 상태입니다. 흥미로운 점은, 다른 랜섬웨어들과는 달리 이 새로운 바이러스는 랜섬머니를 비트코인으로 요구하지 않는다는 것입니다. 대신 공격자들은 피해자들에 WeChat Pay를 통해 110위안(약 18,000원)을 지불하라고 요구합니다. 랜섬웨어 + 패스워드 스틸러 : 지난 해 전세계적으로 큰 혼란을 일으켰던 WannaCry와 NotPetya 랜섬웨어와는 다르게, 이 새로운 중국 랜섬웨어는 중국 사용자만을 대상으로 하고 ..

국내외 보안동향 2018. 12. 6. 08:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GandCrab 5.0.9 버전이 등장하여 사용자들의 주의가 필요합니다. ※ 관련 글 보기▶ 복호화 툴로 복구 불가능한 갠드크랩(GandCrab) 5.0.5 변종 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! GandCrab 5.0.9 버전은 기존의 GandCrab 랜섬웨어와 다르게 "We will become back very soon! ;)" 이라는 팝업창을 띄웁니다. 사용자가 확인 버튼을 클릭한다면 기존의 갠드크랩들과 동일하게 파일들을 ..

악성코드 분석 리포트 2018. 12. 5. 11:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기 ▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 ▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 ▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. [그림 1] 수신된 메일 만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 이용자가 자세한 정보를 열람하기 위해 매..

악성코드 분석 리포트 2018. 11. 27. 15:42

Aurora / Zorro Ransomware Actively Being Distributed 2018년 여름 등장한 한 랜섬웨어의 최신 버전이 최근 분발하고 있는 것으로 나타났습니다. 이 새로운 변종은 현재 Zorro 랜섬웨어라 불리고 있지만, 예전에는 Aurora 랜섬웨어라는 이름으로 불렸습니다. 이 랜섬웨어가 배포되고 있는 방식은 현재까지 밝혀지지 않았지만, 인터넷에 노출 되어 있으며 원격 데스크탑 서비스를 실행하는 컴퓨터를 해킹하여 설치 되는 것으로 추정 됩니다. 공격자들은 컴퓨터에 접근하여 랜섬웨어를 설치하기 위해 RDP 계정의 패스워드를 브루트포싱할 것입니다. 좋은 소식은 보안 연구원인 Michael Gillespie와 Francesco Muroni가 이 랜섬웨어를 무료로 복호화할 수 있는 방..

국내외 보안동향 2018. 11. 23. 14:12

CommonRansom Ransomware Demands RDP Access to Decrypt Files 다소 특별한 요청을 하는 새로운 랜섬웨어인 CommonRansom이 발견 되었습니다. 이들은 파일을 복호화 하고자 하는 피해자에게 지불을 받은 후 해당 컴퓨터의 원격 데스크탑 서비스(RDP)를 오픈하고 어드민 크리덴셜을 보내도록 요구합니다. CommonRansom은 피해자가 랜섬노트와 암호화 된 파일을 ID Ransomware 서비스에 업로드 한 후, 보안 연구원인 Michael Gillespie가 발견했습니다. 이는 피해자의 파일을 암호화한 후 [old@nuke.africa].CommonRansom 확장자를 붙입니다. 이후 DECRYPTING.txt라는 랜섬노트를 생성합니다. 내용은 아래와 같습니..

국내외 보안동향 2018. 10. 31. 16:38