해외 보안기업, BlueCrab 랜섬웨어 복구 툴 공개

해외 보안기업 BitDefender에서 BlueCrab 랜섬웨어 (Sodinokibi, REVil) 복호화 툴을 공개하였다. *국내 유포 샘플의 경우 추가 작업을 선행해야 정상적으로 복호화가 가능하다. 랜섬노트 파일명 형식을 원본 BlueCrab 랜섬웨어와 동일하게 변경해야 하는데 자세한 방법 및 예시는 본문 하단 [그림 5]와 같다. URL: https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/ 해당 기업에 따르면 법 집행기관의 협조 하에 해당 도구를 제작하였으며 2021년 7월 13일 이전에 이루어진 공격에 대해 복호화가 가능하다고 설명하고 있다. 현재 BlueCrab 랜섬웨어의 랜섬 페이지가 정상적으로 동작하고 있지 않기 때문에 사용자는 암호화된 파일을 복호화할 방법이 없으며, 해당 툴을 사용하여…

Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)

ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다. VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다. Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치하여 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는…

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들이 감염 위험에 노출된 상황이다. (Win10 환경에서만 취약점이 변경되었으며, 그 외에는 기존 CVE-2021-26411이 사용 중) 취약점 발생 시, 아래의…

이력서로 위장한 Makop 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 이력서로 위장한 Makop 랜섬웨어가 국내 사용자를 대상으로 유포 중임을 확인하였다. Makop 랜섬웨어는 작년부터 꾸준하게 변형되어 유포되던 악성코드로 ASEC 블로그를 통해 해당 내용을 소개해왔으며, 이전과 동일하게 NSIS (Nullsoft Scriptable Install System) 형태이다. 이력서로 위장한 방식은 기업들의 채용 기간에 맞춰 채용 담당자를 타겟으로 유포하는 것으로 보인다. 지난 상반기 채용 기간에 해당 랜섬웨어가 유포되었으며, 이번에도 하반기 채용 기간에 맞춰 유포된 것으로 추정된다. 현재 유포되고 있는 악성 메일 및 파일명은 아래와 같다. 메일 내 압축된 악성 파일을 첨부하고 있으며, 메일의 제목…

스팸 메일로 전파되는 피싱 악성코드 동향

안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다. 본 내용에서는 보안 제품 레벨에서 차단이 필요한 두번째 유형에 대해 피해 현황 및 피싱형 악성코드 특징에 관해 설명한다. 메일 본문에 포함된 피싱 사이트 주소에 접속했을 때, 또는 첨부된 HTML 파일을…