Ransomware

다양한 공격자들에 의해 사용되는 SystemBC 악성코드

SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서 추가 악성코드를 설치할 수 있는 다운로더 기능이 존재하기 때문에, 공격자는 추가 페이로드를 설치하는 수단으로서도 SystemBC를 활용 가능하다. 과거 유포 사례 SystemBC는 2019년 RIG 익스플로잇 킷과 Fallout 익스플로잇 킷을 통해 유포되었던…

지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중

ASEC 분석팀은 최근 이력서, 저작권 관련 내용으로 사칭한 메일을 통해 랜섬웨어가 유포되고 있음을 확인하였다. 이러한 내용의 악성 메일은 과거부터 꾸준히 유포되고 있다. 기존 Makop 랜섬웨어를 유포했던 것과 달리 최근에는 LockBit 램섬웨어를 유포하고 있다. 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 유포가 확인된 메일에는 암호가 설정된 압축 파일이 첨부되어 있다. [그림1]에 첨부된 압축 파일 내부에는 다음과 같이 ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.jpg’  파일과 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’ 파일이…

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들이 감염 위험에 노출된 상황이다. (Win10 환경에서만 취약점이 변경되었으며, 그 외에는 기존 CVE-2021-26411이 사용 중) 취약점 발생 시, 아래의…

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)

ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 먼저, 자사에서 지난 5 월에 발행한 BazarLoader 분석보고서의 일부 내용을 인용하면 아래와 같다. ATIP – BazarLoader 분석보고서 ‘개요’ 부분발췌 BazarLoader는 메모리 상에서 백도어를 다운로드하고 정상 프로세스에 인젝션하는 악성코드로, C++언어를 기반으로 만들어졌으며 주로 x64 실행파일 형태로 유포되고 있다. BazarLoader가 다운로드하는 악성코드는 ‘BazarBackdoor’라 불리며, 이 백도어는 사용자 PC 정보…

랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례

기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐를 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스 운영 재개를 해야하는 입장인 기업을 대상으로…