Ransom & Dark Web Issues 2024년 6월 1주차
ASEC Notes를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 6월 1주차를 게시한다.
우크라이나 정부 및 기업을 대상으로 유포되는 SmokeLoader
AhnLab SEcurity intelligence Center(ASEC) 은 우크라이나 정부 및 기업을 대상으로 SmokeLoader 악성코드가 다수 유포 중인 것을 확인하였으며, 최근 우크라이나를 대상으로 한 공격이 증가한 것으로 보여진다. 현재까지 확인된 유포 대상에는 우크라이나의 법무부, 공공기관, 보험, 의료, 건축, 제조 기업이 존재하였다. 유포된 메일은 [그림 1] 과 동일한 형태로, 메일 내용은 우크라이나어로 작성되어 있다.
SmokeLoader를 통해 유포 중인 Amadey Bot
Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에
다양한 공격자들에 의해 사용되는 SystemBC 악성코드
SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서
