복호화 가능한 iswr 랜섬웨어 국내 유포중 Posted By song.th , 2023년 3월 2일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…
RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker) Posted By Sanseo , 2023년 2월 28일 ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다. 공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였으며, 이를 이용해 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 것으로 보인다. 1. RDP를 이용한 랜섬웨어 설치 RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근…
매그니베르 랜섬웨어의 재실행 기법(Magniber) Posted By ohmintaek , 2023년 2월 21일 ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. 최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해 사례가 보고되어 분석결과 시스템이 재시작 될 때마다 새로운 매그니베르를 다운로드 받아 암호화가 되도록 제작하여 더 많은 피해를 발생 시키고 있다. 아래 [그림] 은 MSI 파일 실행시, msiexec.exe 에서 동작되는 인젝터…
‘수입통관 정보제출 안내’로 유포되는 운송회사 사칭 메일 Posted By sm.Yi , 2023년 2월 16일 ASEC(AhnLab Security Emergency response Center)은 최근 운송 회사를 사칭한 악성 메일이 국내에 유포 중인 것을 확인하였다. 해당 메일은 ‘수입 통관 정보 제출’을 명목으로 첨부파일을 확인하도록 하고 있다. 메일에 첨부된 HTML 파일명이 ‘DHL_KOREA’로 시작하는 것으로 보아 국내 사용자를 대상으로 유포 중임을 알 수 있다. 해당 사칭 메일은 첨부된 HTML 파일에 로그인 페이지가 있고, 사용자가 로그인을 하면 OneDrive 개인 클라우드 저장소에 저장된 엑셀 파일이 열리는 형태이다. 사용자가 첨부된 HTML 파일을 열었을 때, 연결되는 로그인 페이지에서 입력한 비밀번호는 아래 서버로 유출되는 것을 알…
라자루스(Lazarus) 그룹이 사용한 안티 포렌식 기법 Posted By AFIRST.SH , 2023년 2월 15일 약 1년 전부터 라자루스 공격 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있어, 안랩 ASEC 분석팀은 라자루스 공격 그룹의 활동 및 관련 TTP’s를 지속적으로 추적하고 있다. 본 글에서는 최근 사례 중 라자루스 그룹이 침해한 시스템에서 확인된 안티 포렌식 흔적과 내용을 공유하고자 한다. 개요 안티 포렌식 정의 안티 포렌식이란 범죄 현장에서 증거의 존재를 훼손시켜 부정적인 영향을 미치거나 증거 분석 및 조사 과정을 방해하거나 어렵게 만들려는 시도를 말한다. 일반적으로 침해사고 관점에서의 안티 포렌식의 목적은 다음과 같다. 라자루스 그룹은…
