Ransomware

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들이 감염 위험에 노출된 상황이다. (Win10 환경에서만 취약점이 변경되었으며, 그 외에는 기존 CVE-2021-26411이 사용 중) 취약점 발생 시, 아래의…

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)

ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 먼저, 자사에서 지난 5 월에 발행한 BazarLoader 분석보고서의 일부 내용을 인용하면 아래와 같다. ATIP – BazarLoader 분석보고서 ‘개요’ 부분발췌 BazarLoader는 메모리 상에서 백도어를 다운로드하고 정상 프로세스에 인젝션하는 악성코드로, C++언어를 기반으로 만들어졌으며 주로 x64 실행파일 형태로 유포되고 있다. BazarLoader가 다운로드하는 악성코드는 ‘BazarBackdoor’라 불리며, 이 백도어는 사용자 PC 정보…

랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례

기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐를 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스 운영 재개를 해야하는 입장인 기업을 대상으로…

저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어

ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 첨부파일 내부에는 알집으로 압축된 파일이 존재하며, 아래와 같이 총 3개의 파일이 존재한다. 이 중 이미지 원본.jpg 파일은 정상 실행파일이며, 나머지 실행 파일의 경우 동일한 파일로 랜섬웨어 악성코드이다. 해당 파일은 아래와 같이 CCleaner Installer 인 것 처럼 위장하였다. 랜섬웨어 파일…

입사지원서로 위장한 Makop 랜섬웨어 유포 주의!

ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다. 메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다. ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe ● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe  메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와…