안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 호주의 물류회사와 스페인에 위치한 병원에 랜섬웨어 공격이 발생했습니다. 주로 기업 네트워크를 타깃으로 하는 이번 공격에 사용된 랜섬웨어는 Mailto 랜섬웨어의 변종으로 Netwalker 로도 알려져있습니다. 해외에서 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서 해당 공격자들이 랜섬웨어 설치를 위해 코로나19 이슈를 이용하여 피싱 이메일을 사용하고 있는 것으로 확인되었습니다. [그림] 랜섬노트 화면 해당 랜섬웨어는 기업을 타겟으로 하고, 최근에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용하는 랜섬웨어입니다. 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다...

악성코드 분석 리포트 2020. 4. 16. 17:00