잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 피해 사례 2022년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “블랙캣(BlackCat)” 및 “플레이(Play)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 일본 제조 업체 Ohmiya가 “락빗” 랜섬웨어 공격을 받았고, 11월과 12월에는 호주 부동산 업체 LJ Hooker와 미국 클라우드 서비스 업체 Rackspace가 각각 “블랙캣”과 “플레이” 랜섬웨어 공격을 받아 피해가 발생했다. 락빗(LockBit) 랜섬웨어 피해 사례 락빗(LockBit) 랜섬웨어를 사용하는 조직이 4분기에도 꾸준한 활동량을 보이고 있다. 지난 3분기에 랜섬웨어 빌더가 유출된 이후 다수의 변종 등장과 함께 락빗 랜섬웨어의 피..

1. 악성코드 통계 악성코드 Top10 2022년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 18,270건이 탐지되었다. 악성코드 진단 수 전월 비교 12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan, Virus 및 Worm의 진단 수가 증가했고, Suspicious와 Backdoor의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 전체적으로 감소하는 추이를 보이고 있다..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 53건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 16건으로 두번째로 많이 발생했다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 31%로 가장 높은 비중을 차지했고, 프랑스와 영국이 6%, 캐나다가 5%로 그 뒤를 따랐다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/..

최근, 취약점을 악용해 IoT 장치를 공격하는 "Zerobot" 악성코드가 발견됐다. 보안 업체 Fortinet에 따르면, 이 악성코드는 Go언어로 작성된 봇넷으로, IoT 장치 및 기타 애플리케이션에서 24개의 보안 취약점을 악용해 전파되는 것으로 알려졌다. 해당 악성코드는 네트워크 스캔 및 자체 전파 기능을 포함하고 있으며, 공격에 성공할 경우 감염된 장치를 봇넷에 추가해 DDoS 공격에 사용한다. Fortinet은 지난 11월 발견 이후 "Zerobot" 악성코드가 지속적으로 업데이트되고 있음을 언급하며, 공격에 악용되는 취약점에 대해 최신 패치를 적용할 것을 권고했다. 사진출처 : Fortinet 출처 [1] Fortinet (2022.12.06) - Zerobot – New Go-Based Bo..

최근, 악성 문서 파일을 통해 "Ekipa" RAT 악성코드가 유포되는 정황이 발견됐다. 보안 업체 Trustwave에 따르면, 공격자가 러시아의 정부 및 금융 기관을 대상으로 하는 피싱 메일에 악성 문서 파일을 첨부해 유포한 것으로 알려졌다. 또한, 첨부파일에는 Microsoft 사의 매크로 자동 실행 방지 정책을 우회하기 위해 XLL 파일과 함께 매크로를 실행하는 스크립트가 포함돼 있다. 사용자가 해당 첨부파일을 실행할 경우, 내부의 매크로가 실행돼 "Ekipa" 악성코드를 설치하고 실행한다. 현재, "Ekipa" 악성코드는 해킹 포럼에서 3900달러에 판매되고 있으며, 실행 시 정보 탈취 및 파일 다운로드 등의 악성 행위를 수행한다. 사진출처 : Trustwave 출처 [1] Trustwave (2..

최근, 이탈리아 사용자를 표적으로 하는 "PureLogs" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 스팸 메일에 포함된 악성 링크를 통해 유포되는 것으로 알려졌다. 사용자가 링크에 접속할 경우 악성코드가 포함된 ZIP 파일이 다운로드되고, 내부의 CAB 파일을 실행하면 "PureLogs" 악성코드가 드롭 후 실행된다. 이후, 해당 악성코드는 피해자 시스템에서 브라우저 쿠키와 비밀번호, 암호화폐 지갑 및 디스코드 토큰 등의 데이터를 탈취한다. 현재, "PureLogs" 악성코드는 암호화페 채굴, 원격 제어 및 암호화 등의 동작을 수행하는 악성 도구들과 함께 다크웹에서 연간 99달러에 판매되고 있다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.27) - Pure..

최근, 새로운 정보 탈취 악성코드 "RisePro"가 유포되는 정황이 발견됐다. 보안 업체 Sekoia에 따르면, 해당 악성코드가 "PrivateLoader" 악성코드를 통해 유포되는 것으로 알려졌다. "PrivateLoader"로부터 다운로드된 "RisePro" 악성코드가 실행될 경우, 피해자 PC에서 신용 카드, 암호화폐 지갑, 브라우저 암호 및 쿠키 등을 탈취해 공격자 C&C 서버로 전송한다. 또한, "RisePro"는 추가 악성코드를 로드하는 기능을 포함하고 있다. 현재, "RisePro" 악성코드는 텔레그램 채널을 통해 판매되고 있다. 사진출처 : Sekoia 출처 [1] Sekoia (2022.12.22) - New RisePro Stealer distributed by the prominen..

최근, "TrueBot" 악성코드를 활용한 공격이 급증하고 있다. 보안 업체 Cisco Talos에 따르면, 이 악성코드는 다운로더 역할을 하며 최근 "Clop" 랜섬웨어를 유포하는 데 사용된 것으로 알려졌다. 해당 악성코드에 감염될 경우, 피해자 PC에서 시스템 정보와 스크린샷 등의 정보를 탈취하고, "Teleport" 및 "Clop"과 같은 추가 악성코드를 다운로드해 정보 탈취, 파일 암호화 등의 악성 행위를 수행한다. 또한, 새로운 버전의 "Truebot"에는 다운로드 기능 외에도 메모리에 셸 코드를 주입해 실행하는 등 탐지 회피를 위한 기능이 추가된 것으로 밝혀졌다. 사진출처 : Cisco Talos 출처 [1] Cisco Talos (2022.12.08) - Breaking the silence..

최근, 분석 방해 기술이 추가된 "GuLoader" 악성코드의 변종이 발견됐다. 보안 업체 Crowdstrike에 따르면, 해당 악성코드는 쉘코드 형태의 다운로더로 최신 버전에서는 VBS 파일 실행을 통해 유포되는 것으로 알려졌다. 이 파일을 실행하면 악성 쉘코드를 드롭한 뒤 정상 프로세스에 주입해 실행하고 "Remcos" 악성코드를 다운로드한다. 발견된 변종은 프로세스 메모리 전체에서 가상머신 관련 문자열 검사를 수행하며, 가상 환경이 탐지될 경우 쉘코드 실행을 중단하는 것으로 밝혀졌다. 사진출처 : Crowdstrike 출처 [1] Crowdstrike (2022.12.19) - Malware Analysis: GuLoader Dissection Reveals New Anti-Analysis Tech..

최근, Windows 10 운영체제 설치 프로그램으로 위장한 트로이 목마 악성코드가 발견됐다. 보안 업체 Mandiant에 따르면, 이 악성코드는 우크라이나 사용자를 대상으로 하며 토렌트 파일 공유 사이트에서 유포되는 것으로 알려졌다. 해당 악성코드는 Windows 10 설치 프로그램으로 위장한 악성 ISO 파일로, 자동 업데이트 및 라이센스 확인 등을 차단하도록 설계됐다. 설치 이후, 사용자 PC에서 시스템 파일 등을 탈취해 공격자의 C&C 서버로 전송한다. 또한, 지속성을 위한 여분의 백도어 "Sparepart"와 정보 탈취를 위한 백도어 "Stowaway" 등의 추가 악성코드를 설치하는 것으로 알려졌다. 사진출처 : Mandiant 출처 [1] Mandiant (2022.12.15) - Trojan..