마이킹즈(MyKings) 봇넷 동향 Posted on 2020년 3월 4일 마이킹즈 봇넷은 다크클라우드(DarkCloud), 히든(Hidden), 스모민루(Smominru) 등으로도 불리는 봇넷으로, 2014년 8월 관련 악성코드가 처음 발견되었다. 국내에서는 2015년 5월 처음 확인됐다. 이후 꾸준히, 그러나 조용하게 활동해온 이 봇넷은 2018년 중반 이후 활발한 움직임을 보였다. 안랩에서도 2016년 11월 국내 기업의 디지털 인증서로 서명된 악성코드를 분석하던 중 마이킹즈 봇넷과 연관된 정황을 확인한 바 있다. 이후 2018년 중반부터 국내 대학, 협회, 방송, 제조, 금속, 솔루션 서비스, 웹호스팅 등 다양한 산업 분야에서 채굴 악성코드(Coin Miner, 코인마이너) 재감염, 백신 프로그램 장애, 부트킷 악성코드 등 다른 듯 유사한 사례가 지속적으로 확인됐다. 별개로 보이는 이들 사례를 안랩이 분석한 결과, 모두 동일한 그룹의 소행으로 결론 내렸다. 마이킹즈 봇넷에 대한 요약 글과 전체 PDF 파일은 다음 주소에서 확인 할 수 있다. . 서버 노리는 마이킹즈(MyKings) 봇넷의 실체 (https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29020) . PDF 파일 다운로드 (http://download.ahnlab.com/kr/site/library/[AhnLab]Analysis%20Report_MyKings%20Botnet.pdf)
2019년 상반기 랜섬웨어 동향 Posted on 2019년 7월 16일 2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. [그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대…
2019년 1분기 랜섬웨어 동향 Posted on 2019년 4월 10일 2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트 건수는 26건에 지나지 않았다. Nabucur 는 33만6천건의 샘플건수를 갖고 있으나, 감염 리포트 건수는 불과 23건 이였다. [ 그림1] 2018.01 ~ 2019.03 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 1분기 감염 리포트 증가 원인은 GandCrab 과 Wannacry 가 2월과 3월에 폭발적으로 증가 했기 때문이다. – 하단의 [그림2], [그림3] GandCrab 과 Wannacry 샘플 및 감염 추세 그래프 참고 – GandCrab 샘플 건수를 먼저 알아보면 직전 분기 2만2천건에서 11만1천건으로 무려 399.4% 증가…
한국과 일본의 기관과 기업을 노리는 틱(Tick) 그룹 동향 Posted on 2019년 4월 1일 틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드 나이트(RedBaldKnight) 등으로도 불리는 공격 그룹으로, 지난 2014년부터 본격적인 활동이 포착되었다. 이 그룹이 처음 알려진 것은 2013년 어도비 플래시 플레이어 제로데이 취약점인 CVE-2013-0633과 CVE-2013-0634를 이용한 레이디보일(Ladyboyle) 이다. 2016년 4월 시만텍(Symantect)이 처음으로 이 그룹을 ‘틱(Tick)’으로 명명 했으며, 같은 해 11월 일본의 보안 업체인 LAC 에서 이 그룹의 일본 활동을 공개했다. 2017년 6월에는 시큐어웍스(SecureWorks)에서 브론즈 버틀러(Bronze Butler) 라는 이름으로 이 그룹의 활동을 공개하고, 같은 해 7월 팔로알토 와 11월 트렌드마이크로 에서 추가 정보를 공개했다. 2018년 6월 팔로알토 유닛42는 이 그룹이 한국의 보안 USB에 대한 공격도 시도했다고 밝혔다. 2014년 이후에는 주로 한국과 일본 기관 및 기업에 대한 공격을 시도하고 있다. 다만 이 보다 앞선 2008년 국내에서 해당 그룹과 관련된 악성코드가 발견된 바 있어 이 그룹의 국내 공격은 상당히 오랫동안 지속되었을 가능성이 있다. 이 그룹은 한국과 일본의 IT 환경을 연구해 공격을 전개하고 있다. 일본에서 주로 사용되는 제품의 취약점을 이용해 악성코드를 감염시켰으며, 한국에서는 취약점 공격 외에도 국산 백신이나 보안 USB 제품을 공격하는 등 다양한 공격을 시도하고 있다. 이 그룹이 일본에서 전개한 공격에 대해서는 잘 알려져 있으나 상대적으로 한국에서의 활동에 대해서는 알려진 것이 적다. 관련 내용은 다음 주소에서 확인 할 수 있다. – 한일 양국에서 전개되는 타깃 공격의 실체 https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28186 – Tick Group 공격 동향 보고서 전문 (PDF) http://download.ahnlab.com/kr/site/library/[Analysis_Report]Tick__Threat_Group.pdf
암호화폐 가치에 따른 마이너 악성코드 동향 (2018) Posted on 2019년 1월 29일 2018년 마이너(Miner) 악성코드 샘플과 감염 리포트 수량이 크게 증가했다. 해당 악성코드의 샘플 수량은 2017년의 12만7천건에서 2018년도는 299만건으로 무려 2,254% 증가율을 보였다. [그림 1] Miner 악성코드 샘플 수량 및 감염 리포트 수량 vs 비트코인 가격 (※ 비트코인 시세: 코인마켓캡(https://coinmarketcap.com) 자료 기준) 마이너 악성코드의 폭발적인 증가는 암호화폐(Cryptocurrency, 일명 가상화폐)의 급격한 가치 상승에 기인한 것으로 분석된다. 실제로 [그림 1]과 [그림 2]의 비트코인(Bitcoin, BTC)과 모네로(Menero, XMR) 가격 추세 그래프에서 알 수 있듯이 2018년 1분기 암호화폐의 가격 상승과 함께 샘플 및 감염 리포트 수량이 폭발적으로 증가했다. 참고로 암호화폐의 대명사로 알려진 비트코인과 달리 모네로는 거래의 익명성이 보장되어 누가 얼마나 보낸 것인지 알 수 없으며, 성능 좋은 고가의 GPU(Graphics Processing Unit)를 장착한 시스템이 아닌 일반 CPU(Central Processing Unit) 환경에서도 채굴을 지원하는 대표적인 코인으로 알려져 있다. 이러한 이유로…