매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)
매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)
ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1) – ASEC BLOG ASEC 분석팀에서는 악성 매크로 파일에
랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례
기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은
저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어
ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 그림1. 메일 내용 첨부파일 내부에는 알집으로 압축된 파일이 존재하며,
입사지원서로 위장한 Makop 랜섬웨어 유포 주의!
ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다. 메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된
주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중
매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기
이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)
ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe 저작권법 관련하여 위반인 사항들 정리하여
BlueCrab 랜섬웨어, 기업 환경에서는 CobaltStrike 해킹툴 설치
ASEC 분석팀은 JS 형태로 유포되는 BlueCrab 랜섬웨어(=Sodinokibi, REvil) 감염 과정 중 특정 조건에서 CobaltStrike 해킹 툴을 유포하는 것을 확인했다. CobaltStrike 해킹툴은 원래 합법적인 목적으로 모의 해킹 테스트를 위해 제한적으로 사용된 툴이었으나, 최근 소스코드 유출 이후에 악성코드에서도 활발하게 사용 중이다. 최근 확인된 BlueCrab 랜섬웨어 유포 JS 파일에서는 기업 AD(Active Directory) 환경을
지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어
BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다.
CLOP 랜섬웨어 공격 보고서
안랩 시큐리티대응센터(ASEC)은 최근 유통 대기업 A사를 공격한 CLOP 랜섬웨어와 CLOP 랜섬웨어의 유포 및 공격 방식에 대해 분석 보고서를 공개한다. 이 보고서는 2020년 유통 대기업 A사 공격에 사용된 CLOP 랜섬웨어 파일의 복구 가능성과 연관 파일, 그리고 2019년에 여러 기업 공격에 사용된 CLOP 랜섬웨어 유포 과정을 설명한다. 또한 현재까지 확인된 CLOP 랜섬웨어의
