MedusaLocker

RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker)

ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다. 공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였으며, 이를 이용해 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 것으로 보인다. 1. RDP를 이용한 랜섬웨어 설치 RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근…