Emotet malware now installs via PowerShell in Windows shortcut files Emotet 봇넷이 피해자를 감염시키기 위해 더 이상 기본적으로 비활성화된 Microsoft Office 매크로를 사용하지 않고, PowerShell 명령이 포함된 윈도우 바로 가기 파일(.LNK)을 사용하기 시작했습니다. Emotet은 페이로드를 다운로드하는 명령을 빌드하기 위해 VBS(Visual Basic Script) 코드와 함께 .LNK 파일을 사용했기 때문에, 이는 새로운 전략은 아닙니다. 하지만 윈도우의 바로가기를 통해 직접 PowerShell 명령어를 실행한 것은 이번이 처음입니다. 캠페인 실패 이후 새로운 기술 도입해 지난 금요일, Emotet의 운영자는 악성 .LN..

국내외 보안동향 2022. 4. 27. 09:00

Malware adds Any.Run sandbox detection to evade analysis 악성코드 개발자들이 연구원들의 분석을 피하기 위해 악성코드가 Any.Run 악성코드 분석 서비스에서 실행 중인지 확인하기 시작한 것으로 나타났습니다. Any.Run은 악성코드 분석 샌드박스 서비스로 연구원과 사용자들이 자신의 컴퓨터를 감염시킬 위험 없이도 안전하게 악성코드를 분석할 수 있습니다. Any.Run에 실행파일이 등록되면, 샌드박스 서비스는 대화식 원격 데스크톱이 있는 윈도우 가상 머신을 생성하여 여기에서 해당 파일을 실행합니다. 연구원들은 이 대화식 윈도우 데스크톱을 활용해 악성코드의 행동을 살펴볼 수 있으며, Any.Run은 네트워크 활동, 파일 활동, 레지스트리 변경 사항 등을 체크합니다...

국내외 보안동향 2020. 7. 13. 09:59

Hackers use fake Windows error logs to hide malicious payload 해커들이 스크립트 기반 공격 기반을 마련하기 위해 악성 페이로드를 디코딩하도록 설계된 16진수 값으로 위장한 ASCII 문자를 저장할 목적으로 가짜 에러 로그를 사용하고 있는 것으로 나타났습니다. 이 트릭은 결국 정찰 목적 스크립트를 전달하게 되는 중간 단계 PowerShell 명령을 포함한 더욱 긴 체인의 일부입니다. 행간 읽기 Huntress Labs는 타깃 기기에서 지속성을 획득한 공격자가 공격 루틴을 수행하기 위한 특이한 트릭을 실행하는 공격 시나리오를 발견했습니다. 공격자가 이미 타깃 시스템에 접근해 지속성을 획득했을 경우, 응용 프로그램의 윈도우 에러 로그를 모방한 “a.chk” 파일..

국내외 보안동향 2020. 6. 22. 09:39

Black Kingdom ransomware hacks networks with Pulse VPN flaws Black Kingdom 랜섬웨어 운영자들이 패치되지 않은 Purse Secure VPN 소프트웨어를 사용하거나 네트워크에 대한 초기 접근 권한을 획득 가능한 기업을 공격하고 있는 것으로 나타났습니다. 이 악성코드는 허니팟에 걸려들어 연구원들이 이를 분석하고 공격자가 사용하는 전술을 문서화할 수 있었습니다. 랜섬웨어의 전술 이 랜섬웨어는 2019년 4월 패치된 Purse Secure VPN의 구 버전에 존재하는 치명적인 취약점인 CVE-2019-11510을 악용합니다. 여러 기업에서는 익스플로잇이 공개된 이후에도 소프트웨어 업데이트를 진행하지 않아 미 정부에서 여러 차례 경고를 받았습니다. 이에 ..

국내외 보안동향 2020. 6. 15. 09:06

Netwalker ransomware actors go fileless to make attacks untraceable 공격자들이 흔적을 남기지 않고 피해자를 Netwalker 랜섬웨어에 감염 시키기 위해 파일리스 악성코드 기술인 반사 DLL 인젝션(Reflected DLL injection)을 사용해온 것으로 나타났습니다. DLL 인젝션(DLL injection) 이란? 다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술로 공격자는 임의적인 코드를 삽입하여 시스템 함수 후출을 후킹하거나 보통 방식으로 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 있다. 반사 DLL 인젝션(Reflected DLL injection) 이란?DLL 인젝션(DLL injectio..

국내외 보안동향 2020. 5. 19. 14:00

ProLock Ransomware teams up with QakBot trojan for network access ProLock은 비교적 새로운 악성코드지만, 기업 및 지방 정부를 대상으로 파일 복호화에 엄청난 금액을 요구함으로써 빠르게 주목 받고 있습니다. 가장 최근 이 악성코드의 피해를 입은 기업은 ATM 제공 업체로 알려진 Diebold Nixdorf입니다. 공격은 암호화 단계 이전에 발각되었으며 시스템에 아무런 영향을 미치지 못했습니다. 하지만 기업 네트워크에는 영향을 미쳐 일부 시스템 장애가 있었습니다. 평균 가격 이 랜섬웨어 패밀리는 PwndLocker로 시작되었지만 지난 3월 파일을 무료로 복호화할 수 있었던 취약점를 수정한 후 ProLocker로 리브랜딩 되었습니다. BleepingCo..

국내외 보안동향 2020. 5. 15. 15:00

Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites 공격자들이 악성코드 배포 방식으로 해킹된 사이트의 콘텐츠 위에 가짜 Q&A 포럼을 오버레이하는 새로운 배포 방식을 생각해 냈습니다. Sodinokibi 랜섬웨어 배포자는 워드프레스 사이트 다수를 해킹하여 원래 사이트의 콘텐츠 위에 가짜 Q&A 포럼 포스트를 표시하는 JavaScript를 주입하고 있는 것으로 나타났습니다. 가짜 포스트에는 사이트 관리자의 답변이 달려있는데, 여기에는 랜섬웨어 인스톨러로 연결되는 링크가 포함되어 있었습니다. 이 가짜 포럼 포스트는 관리자가 제공한 답변 및 링크가 진짜처럼 보이게 하기 위해 사용자가 방문한 페이지 내용과 관련된 정보를 포함했습니다. 그러나, 다운로드한..

국내외 보안동향 2019. 9. 3. 10:41

Russian Hacking Group Targeting Banks Worldwide With Evolving Tactics 주로 구 소련 국가 및 주변 국가의 금융 기관을 노리는 것으로 알려진 러시아어를 구사하는 사이버 범죄 그룹 Silence APT가 최근에는 미국, 유럽, 아프리카, 아시아를 노리는 것으로 나타났습니다. 2016년 9월부터 활동해온 Silence APT 그룹은 방글라데시에 위치한 Dutch-Bangla Bank를 공격해 며칠 동안 ATM 현금 인출을 통해 3백만 달러 이상을 탈취하기도 했습니다. Group-IB에 따르면, 이 해킹 그룹은 최근 몇 달간 공격 대상 지역을 크게 확장하고, 공격 캠페인 빈도도 늘렸으며 악성코드 또한 강화시켰습니다. Silence APT 해킹 그룹은 그들의..

국내외 보안동향 2019. 8. 22. 14:29