Nevada 랜섬웨어 국내 유포 중 Posted By skyung , 2023년 3월 16일 AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트 내에 지불을 위한 Tor 브라우저 링크가 존재한다. 1. Nevada 랜섬웨어 주요 기능 해당 랜섬웨어는 하단의 그림과 같이 세부 실행 방식 지정을 위한 커맨드 기반 옵션을 지원하고 있다. 별도의 옵션을 지정하지 않고 실행 시, 모든 드라이브를 순회하며 암호화만을 진행하지만 “file’, “dir” 옵션 지정을…
매그니베르 랜섬웨어의 재실행 기법(Magniber) Posted By ohmintaek , 2023년 2월 21일 ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. 최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해 사례가 보고되어 분석결과 시스템이 재시작 될 때마다 새로운 매그니베르를 다운로드 받아 암호화가 되도록 제작하여 더 많은 피해를 발생 시키고 있다. 아래 [그림] 은 MSI 파일 실행시, msiexec.exe 에서 동작되는 인젝터…
북한 랜섬웨어 한미 합동 사이버보안 권고 관련 안랩 대응 현황 Posted By Soojin Choi , 2023년 2월 10일 2월 10일 오늘 한미 정보기관이 북한발 랜섬웨어 공격과 관련한 보안 권고문을 발표하였다. 대한민국 국가정보원과 미국 국가안보국(NSA)·연방수사국(FBI)·사이버인프라보안청(CISA)·보건복지부(HHS)이 함께 북한발 사이버 공격에 대한 실태를 알리고, 랜섬웨어로부터 한미 양국을 보호하기 위한 최초의 합동 보고서이다. 제목: 랜섬웨어 공격을 통한 북한의 금전 탈취 수법 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 미국 사이버인프라보안청 (CISA) 바로가기 한미 양국은 미국 의료ㆍ공중 보건 분야 및 기타 주요 인프라 분야 담당 기관을 공격한 Maui와 H0lyGh0st 랜섬웨어가 북한발 랜섬웨어로 판단하고, 이와 관련하여 TTP(Tactics, Techniques, and Procedures) 정보와 침해지표(Indicators of Compromise)를 공개하였다. 안랩은…
LockBit 2.0 랜섬웨어 이력서 위장으로 지속 유포 중 Posted By kwonxx , 2023년 2월 3일 ASEC 분석팀은 이전에 수차례 소개한 Lockbit 2.0 랜섬웨어가 기존에 소개한 방식인 NSIS 형태가 아닌 MalPE 형태로 유포되고 있음을 확인하였다. MalPE 형태는 실제 악성코드의 분석을 방해하는 패킹 방식의 일종이며, 내부 쉘코드를 통해 PE파일을 복호화하여 실행한다. 랜섬웨어 모니터링을 통해 최근 1월 들어 LockBit 랜섬웨어의 유포가 증가한 것이 확인되었고, LockBit 랜섬웨어는 이전에 소개한 바와 같이 여전히 입사 지원서를 사칭한 파일명으로 유포중이다. 과거 파일명을 포함하여 새롭게 확인된 파일명들은 아래와 같다. “이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe”의 파일명으로 유포된 Lockbit 2.0 랜섬웨어는 MalPE 형태로 [그림…
AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 Posted By Sanseo , 2023년 2월 2일 ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. 1. AweSun 취약점 공격 Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1] AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin…
