AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 Posted By Sanseo , 2023년 2월 2일 ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. 1. AweSun 취약점 공격 Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1] AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin…
제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자) Posted By ASEC , 2019년 12월 24일 ASEC 분석팀은 원본 확장자 이름에 _r00t_{6자_랜덤}.RaaS 를 추가하는 신종 랜섬웨어가 국내에 다수 유포 중인 것을 확인하였다. 이 랜섬웨어는 파라다이스(Paradise) 랜섬웨어의 변형으로 추정되며, 제작된 시간은 PE파일 내부의 Time Date Stamp 정보 상 12월 21일로 최근 임을 확인할 수 있다. 국내에는 12월 23일 첫 피해가 확인되었으며 “wscript.exe” 프로세스에 의해 생성된 것을 볼 때 취약점이나 스크립트 파일에 의해 유포 중인것으로 추정된다. [그림 1] 랜섬웨어가 제작날짜 해당 랜섬웨어는 감염하기 전에 언어 확인, 프로세스 및 서비스 종료 등 몇몇의 작업을 거친 후 파일 암호화를 진행한다….
