잉카인터넷 시큐리티대응센터 블로그

최근, 미국의 보안 업체 Symantec이 "Verblecon" 악성코드 분석 보고서를 발표했다. 해당 업체는 "Verblecon" 악성코드가 피해자의 시스템에 암호화폐 채굴 소프트웨어를 설치하는 것을 목표로 하며, 채팅 앱 Discord의 액세스 토큰을 훔치기도 한다고 알렸다. 또한 Symantec의 연구원들은 해당 악성코드가 랜섬웨어 및 스파이 활동을 포함해 더 심각한 공격에 사용될 가능성이 있다고 언급했다. 사진 출처 : Symantec Enterprise Blogs 출처 [1] Symantec Enterprise Blogs (2022.03.29) - Verblecon: Sophisticated New Loader Used in Low-level Attacks https://symantec-ente..

최근, 이스라엘의 보안 업체 Intezer가 "IcedID" 악성코드 캠페인을 발표했다. 해당 업체에 따르면 "IcedID"는 미리 탈취한 계정의 메일에서 지인과 주고 받은 메일 중간에 피싱 메일을 회신하는 방법인 대화 하이재킹(conversation hijacking)을 통해 유포된다고 알려졌다. 또한, 피싱 메일에는 문서 파일로 위장한 링크 파일과 DLL 파일이 압축되어 있으며 링크 파일을 실행할 경우 DLL 파일이 "IcedID"의 페이로드를 메모리에 로드해 실행한다고 알렸다. Intezer는 "이러한 유형의 공격을 탐지하려면 메모리 내부의 악성 파일을 탐지할 수 있어야 한다."고 언급했다. 사진출처 : Intezer 출처 [1] Intezer (2022.03.28) – New Conversatio..

최근, 미국의 보안 업체 Trustwave가 Microsoft 도움말 파일에 숨겨진 "Vidar" 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 "Vidar"는 메일의 첨부파일을 통해 유포되며 첨부파일 안에 ".chm" 확장자를 가진 도움말 파일을 실행할 경우 "Vidar"가 실행된다고 알려졌다. 또한, 해당 악성코드는 브라우저와 애플리케이션에서 정보를 수집하며 수집한 데이터는 공격자 C&C 서버로 전송한다고 알렸다. 사진출처 : Morphisec 출처 [1] Trustwave (2022.03.24) – Vidar Malware Launcher Concealed in Help File https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/..

최근 이스라엘의 보안 업체 Morphisec이 "JSSLoader" 악성코드 분석 보고서를 발표했다. 해당 업체에 따르면 이 악성코드는 메일에 첨부된 악성 "XLL" 또는 "XLM"(엑셀 추가 기능 파일) 파일을 통해 유포되며, 이 파일을 실행할 경우 원격 서버에서 "JSSLoader" 악성코드를 다운로드해 데이터 유출 등의 악성 행위를 시도한다고 알렸다. Morphisec은 대부분의 EDR 솔루션이 이러한 악성 "XLL" 파일을 탐지하지 못한다고 언급했다. 사진출처 : Morphisec 출처 [1] Morphisec (2022.03.23) – NEW JSSLOADER TROJAN DELIVERED THROUGH XLL FILES https://blog.morphisec.com/new-jssloader-..

최근, 미국의 보안 업체 Volexity가 "GIMMICK" 악성코드 변종을 발견했다고 발표했다. 해당 업체는 이 악성코드가 Apple사의 MAC 운영체제에서 발견됐으며 중국의 해킹 조직 "StormCloud"의 사이버 공격에 사용된다고 알렸다. 또한, "GIMMICK"은 클라우드 서비스인 Google Drive를 C&C서버로 사용하며 피해자의 파일 다운로드와 시스템 정보 수집 등의 악성 행위를 시도한다고 알려졌다. Volexity는 비정상적인 프록시 활동 및 내부 네트워크 검색에 대한 트래픽을 모니터링 할 것을 권고했다. 사진출처 : Volexity 출처 [1] Volexity (2022.03.22) – Storm Cloud on the Horizon: GIMMICK Malware Strikes at ..

2021년 5월경 처음 등장한 "PrivateLoader" 캠페인이 인기 프로그램의 크랙버전으로 위장하여 유포되기 시작했다. 해당 악성코드는 'PPI(Pay-Per-Install) 악성코드 서비스'로 공격자가 불특정 다수의 타겟을 지정하여 악성코드를 유포할 수 있다. 'PPI 악성코드 서비스'란 악성코드 제작자가 고객(악성코드 의뢰인)이 원하는 페이로드를 다운로드 사이트에 정상 프로그램으로 위장하여 유포하고, 피해자가 해당 파일을 다운로드하여 실행할 때 고객에게 금전을 지불받는 형식의 서비스이다. "PrivateLoader" 악성코드 캠페인은 주로 백신 프로그램의 크랙 버전으로 위장되어 다운로드 사이트에 게시된다. 해당 파일을 피해자가 다운로드한 후 설치 파일을 통해 "Raccoon", "Redline"..

최근, 미국의 네트워크 장비 제조 업체 Cisco가 DDoS 공격 도구로 위장한 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 이 도구가 러시아 웹사이트를 표적으로 하는 DDoS 공격 도구로 위장하고 있으며 주로 Telegram 메신저를 통해 유포된다고 알려졌다. 또한, 이 도구는 "Phoenix InfoStealer" 로 구성된 악성코드이며 실행할 경우 NFT관련 지갑 정보와 암호화폐 관련 정보를 수집해 공격자의 서버에 전송한다고 알렸다. Cisco는 인터넷 채팅방에 업로드 된 소프트웨어를 설치하지 않도록 주의하고, 이메일의 첨부파일은 다운로드 전에 유효성 검사를 해야 한다고 권고했다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco Talosintelligence ..

Avast Threat Labs의 연구원들이 과거 유행하던 정보 탈취형 악성코드 Raccoon Stealer가 Telegram을 악용하는 기능을 추가했다고 발표했다. Raccoon Stealer와 관련한 자세한 정보는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다. 2019.11.15 - Raccoon Stealer 악성코드 분석 보고서 연구원들에 따르면 최근 발견된 Raccoon Stealer 악성코드는 Telegram 인프라에 C2 주소를 저장한다. 또한, 연구원들은 해당 악성코드가 C2 명령을 통해 Clipboard Stealer와 WhiteBlackCrypt Ransomware 등의 추가 악성코드 파일을 다운로드해 실행한다고 언급했다. 사진 출처 : Avast Threat La..

최근, 영국의 보안 업체 Sophos가 "Qakbot" 악성코드 분석 보고서를 발표했다. 해당 보고서에 따르면 "Qakbot"은 다른 피해자의 메일에서 지인과 주고 받은 메일 중간에 악성 메일을 회신하는 방법으로 유포된다고 알려졌다. 회신 메일에는 악성 Excel 파일을 포함하고 있는 "eum.zip" 파일 다운로드 링크가 있으며 해당 Excel 파일을 실행할 경우 악성 매크로를 통해 “Qakbot”을 다운로드한다. 또한, 설치된 "Qakbot"은 시스템 데이터 수집과 공개 IP 검색 등의 악성 행위를 시도하고 ARP스캔을 통해 다른 시스템으로의 이동 방법을 찾는다고 밝혀졌다. 사진출처 : Sophos 출처 [1] Sophos (2022.03.10) – Qakbot injects itself into t..

최근 호주의 보안 업체 Cyble이 "JesterStealer"라는 악성코드가 다크웹에서 유행하고 있다고 발표했다. 해당 악성코드는 주로 피싱 메일을 통해 유포되며 신용카드 정보와 계정 정보 같은 민감한 데이터를 탈취한다. 또한, 흔적을 남기지 않기 위해 탈취한 데이터를 메모리에 저장 후 전송하며 악성 행위를 완료하면 피해자의 시스템에서 자체 삭제된다고 알려졌다. Cyble은 불법 복제 프로그램을 다운로드하지 않고 신뢰할 수 없는 이메일의 링크 접속을 피할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.02.24) – Jester Stealer: An Emerging Info Stealer https://blog.cyble.com/2022/02/24/jester-stealer-..