본문 바로가기

랜섬웨어44

새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 ASEC 분석팀은 JS형태로 유포되는 BlueCrab 랜섬웨어의 감염 과정에서 큰 변형이 발생한 것을 확인하여 관련 내용을 공유하고자 한다. JS.BlueCrab 랜섬웨어는 다운로드 페이지를 위장한 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취하여 다수의 악성 게시글을 업로드 하며 해당 악성 게시글에 접속 시 다음과 같이 다운로드 페이지로 위장한 피싱 페이지가 출력된다. 각 게시글마다 키워드를 다르게 하여 사용자의 악성코드 다운로드를 유도한다. 모니터링 과정에서 다음 그림처럼 외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다. 피싱 페이지에서 다운로드된 .JS 파일은 BlueCrab 랜섬웨어를 다운로드하여 실행하는 스크립트로 해당 스크립트에 대한 설명은 아래 블로.. 2020. 10. 26.
공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06) ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부) ASEC 분석팀에서.. 2020. 10. 6.
국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부) ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 - [악성코드 정보] - [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) 해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200826(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_.. 2020. 9. 10.
[주의] 특정 기업을 타깃으로 유포되는 WastedLocker 랜섬웨어 지난 7월 23일에 스마트 워치 및 웨어러블 제조업체인 'Garmin'이 WastedLocker 이름의 랜섬웨어 공격을 받아 서비스 및 생산라인이 중단되는 이슈가 발생했었다. 해당 랜섬웨어의 제작자는 'Evil Corp'라는 러시안 사이버 범죄 그룹으로 알려져 있으며 이들은 특정 기업을 대상으로 APT 공격을 수행한 뒤, 침투 테스킹 도구인 Cobalt Striker를 이용하여 WastedLocker 랜섬웨어를 배포한 것으로 추정된다. WastedLocker는 시스템 내의 파일을 암호화 시켜 복호화해주는 대가로 금전을 요구하는 전형적인 랜섬웨어의 특징을 가진 악성코드이다. 특히나 WastedLocker 랜섬웨어 같은 경우, 프로그램에 전달되는 특정 매개 변수 조건에 따라 암호화 범위를 컨트롤 할 수 있는.. 2020. 8. 28.
Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지 지난 6월 26일 "RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)"라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다. RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자) 6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 asec.ahnlab.com 아래의 코드가 실제 해당 랜섬웨어.. 2020. 6. 26.
RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자) 6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 랜섬웨어가 국내에도 유포 중인 것이 확인되었다. (6월 7일) sensorstechforum.com/avaddon-virus-remove/ (6월 8일) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 아래의 그림은 RigEK 에 대한 V3 제품의 행위탐지 로그 수를 나타낸다. 1153은 행위탐지 룰 번호를 나타내며, 6월 8일부터 건 수가 급격하게.. 2020. 6. 24.
특정 기업환경에서만 동작하도록 설계된 Snake 랜섬웨어 최근 기업들을 대상으로 한 스네이크 랜섬웨어가 유포 중이다. 아직 국내에서 확인된 사례는 없지만 독일, 이탈리아, 일본 등 여러 국가 기업들을 대상으로 공격이 나타나고 있기 때문에 국내 기업들도 주의가 필요하다. 스네이크 랜섬웨어는 Go 언어로 개발되어 있다. Go로 개발된 악성코드는 이전부터 꾸준히 증가하고 있으며 최근 유포되는 악성코드들은 분석 방해를 위한 난독화 기법들이 사용되고 있다. 아래와 같이 스네이크 랜섬웨어도 동일하게 함수명들이 모두 랜덤한 문자열들로 변경되어 있다. 작년 말에 확인된 스네이크 랜섬웨어는 일반적인 랜섬웨어와 유사하게 실행 시 특별한 조건 없이 암호화를 진행한다. 하지만 올해 5월부터 확인된 샘플들은 모두 현재 실행 환경이 기업 네트워크 내부인지 여부를 확인한다. 최근 Hon.. 2020. 6. 18.
[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어 ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다. 최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 "MalPE"유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe [주의] 이력서와 공정거래위원회를 사칭.. 2020. 6. 12.