Surtr 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 10월 28일 ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “[DycripterSupp@mailfence.com].[<랜덤문자열>].Surtr” 확장자를 추가하는 Surtr 랜섬웨어가 유포되는 것을 확인하였다. Surtr 랜섬웨어 감염 시, [그림 1, 2]와 같이 감염된 PC의 배경화면 변경 및 랜섬노트 생성을 통해, 사용자에게 랜섬웨어 감염 사실을 주지시키며, [그림 3]과 같이 감염된 파일이 존재하는 폴더마다 랜섬노트 파일(SURTR_README.hta 및 SURTR_README.txt) 을 생성하는 특징이 있다. Surtr 랜섬웨어는 실질적인 파일 암호화 수행 전, 해당 파일이 실행되는 국가의 IP 주소 확인, 프로세스 리스트 확인 및 서비스 종료 등의 작업을 수행하는 특징이 있다….
Elbie 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 10월 26일 ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다. 초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다. 이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다. 인젝션 되어 실행된 랜섬웨어는 %AppData% 경로에 복사본을 드롭하고, 시작 프로그램으로 등록한다. 또한, 시스템 복구를 막는 행위를 수행하기 위해 UAC창을 띄워 관리자 권한을 통한 시도를 유도한다. 관리자 권한을 얻은 프로세스는 2개의 cmd.exe를 실행시켜…
GlobeImposter 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 10월 5일 ASEC 분석팀은 최근 내부 모니터링을 통해 취약한 MS-SQL 서버를 대상으로 하는 GlobeImposter 랜섬웨어가 유포되고 있음을 확인하였다. 자사 TIP 서비스의 분기 별 통계 자료 중 올해 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 해당 GlobeImposter가 언급되어 있는데, 2분기에서는 MS-SQL 대상 랜섬웨어 중 GlobeImposter가 52.6%의 비중을 차지했다. 곧 공개될 3분기 통계에서도 GlobeImposter 랜섬웨어는 여전히 집계되는 것으로 확인된다. 해당 랜섬웨어는 인코딩 된 내부의 데이터를 [그림 1]의 로직을 통해 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 DLL 파일로 디코딩한다. 이 후, 생성된 DLL 파일의…
입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어 Posted By ASEC , 2022년 9월 21일 ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이…
취약한 MS-SQL 서버를 대상으로 유포 중인 FARGO 랜섬웨어 (Mallox) Posted By ASEC , 2022년 9월 19일 ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 최근 FARGO 랜섬웨어가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. FARGO 랜섬웨어는 GlobeImposter 랜섬웨어와 함께 취약한 MS-SQL 서버를 대상으로 유포되는 대표적인 랜섬웨어이며 과거에는 .mallox 확장자를 사용함에 따라 Mallox 랜섬웨어라고도 불린다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코인…
