랜섬웨어

입사지원서로 위장한 Makop 랜섬웨어 유포 주의!

ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다. 메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다. ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe ● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe  메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와…

DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지

최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다. 보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행…

지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어

BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다. ASEC 분석팀은 해당 랜섬웨어와 관련된 다양한 포스팅을 게시하고 있다. 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 BlueCrab 랜섬웨어 유포 사이트 공개 (2) BlueCrab 랜섬웨어는 AV를 우회하기 위해 활발하게 변형을 만들어 내는데,…

CLOP 랜섬웨어 공격 보고서

안랩 시큐리티대응센터(ASEC)은 최근 유통 대기업 A사를 공격한 CLOP 랜섬웨어와 CLOP 랜섬웨어의 유포 및 공격 방식에 대해 분석 보고서를 공개한다. 이 보고서는 2020년 유통 대기업 A사 공격에 사용된 CLOP 랜섬웨어 파일의 복구 가능성과 연관 파일, 그리고 2019년에 여러 기업 공격에 사용된 CLOP 랜섬웨어 유포 과정을 설명한다. 또한 현재까지 확인된 CLOP 랜섬웨어의 주요 변화와 특징에 대해서도 기술한다. 개요 유통 대기업 공격 CLOP 랜섬웨어1) 복구 가능성2) 동일 인증서 포함 파일 기업 공격 과정1) 공격 대상2) 공격 과정 [Ⅰ 준비] 최초 공격 대상자에게 이메일…

BlueCrab 랜섬웨어 유포 사이트 공개 (2)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 이전 포스팅: 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로…