악성코드 개발자로 추정되는 사용자가 Maze, Egregor, Sekhmet 랜섬웨어의 마스터 암호 해독키를 BleepingComputer 포럼에 공개하였습니다. 2020년 10월 Maze 그룹이 운영을 중단한 후, Egregor라는 랜섬웨어 그룹을 결성한 것으로 추측됩니다. Egregor 랜섬웨어는 Sekhmet 랜섬웨어와 Maze 랜섬웨어를 수정한 악성코드의 형태를 가지고 있습니다. 세 가지 랜섬웨어 변종 모두 소스코드 유사점이 있으며 모두 동일한 피해자 인구를 대상으로 하는 것이 특징입니다. 랜섬웨어 마스터 복호화 키 공개 랜섬웨어의 복호화 키가 BleepingComputer 포럼에 유출되었습니다. 해당 복호화 키는 이 세 가지 랜섬웨어 작업을 모두 개발했다고 주장하는 'Topleak'이라는 이름의..

국내외 보안동향 2022. 2. 11. 10:45

FBI(연방수사국)는 2022년 2월 4일에 발표된 새로운 플래시 경고에서 LockBit 랜섬웨어 공격과 관련된 기술적 세부 정보와 침해 지표를 발표했습니다. LockBit 랜섬웨어 그룹은 2019년 9월 RaaS(Ransomware-as-a-Service)로 출시된 이후 현재까지 활발하게 활동하고 있습니다. 또한 그룹 대표가 서비스를 홍보하고 러시아 해킹 포럼에 대한 지원을 제공하며 랜섬웨어 공격 및 네트워크 암호화를 할 공격자들을 모집합니다. 2021년 6월 LockBit은 랜섬웨어 공격자들이 사이버 범죄 포럼에서 포스팅이 금지되자, LockBit 데이터 유출 홈페이지에 LockBit 2.0 RaaS를 공개했습니다. 이후 랜섬웨어 그룹은 Tor 사이트를 재설계하고 악성코드에 AD 그룹 정책을 통한 ‘..

국내외 보안동향 2022. 2. 8. 13:20

유럽의 미디어 및 정부 조직을 대상으로 Zimbra의 크로스사이트스크립팅(XSS) 보안 취약점이 활발히 악용되고 있습니다. Zimbra는 인스턴트 메시지, 화상 회의, 파일 공유 및 클라우드 스토리지 기능을 포함하는 이메일 및 공동 작업 플랫폼이며, 140여개 국가에서 20만여 이상의 기업(1,000개 이상의 정부 및 금융 기관을 포함)이 사용하고 있습니다. 해당 취약점은 Zimbra 8.8.15 및 이전 버전에 영향을 미치며, 현재 8.8.15 p30용 핫픽스를 제공하고 있습니다. 취약점을 이용하면 이메일을 훔치는 것 이외에도 아래와 같은 악의적인 행위를 수행할 수 있습니다. 사서함에 대한 지속적인 액세스를 허용하도록 쿠키를 유출 사용자의 연락처에 피싱 메시지 보내기 신뢰할 수 있는 웹 사이트에서 멀웨..

국내외 보안동향 2022. 2. 8. 13:14

월마트의 사이버 위협 팀이 새로운 서비스형 랜섬웨어 패밀리 Sugar를 분석했습니다. Sugar 랜섬웨어는 기업 망 전체를 겨냥한 기존 랜섬웨어와는 달리 주로 특정 컴퓨터에 집중 하는 것으로 확인되었습니다. Sugar 랜섬웨어는 2021년 11월에 실제 공격에서 처음 발견되었으며, 다른 랜섬웨어 패밀리의 코드를 차용하는 Delphi 악성코드입니다. Sugar 랜섬웨어의 특징은 크립터에서 사용되는 수정된 버전의 RC4 알고리즘이 악성코드 내 문자열 디코딩 과정에서 재사용된다는 것입니다. 월마트의 사이버 위협 팀은 "해당 악성코드는 델파이로 작성되었지만, RE 관점에서 흥미로운 부분은 악성코드에서 문자열 디코딩의 일부로 크립터의 동일한 루틴을 재사용했다는 것” 이라고 밝혔습니다. 따라서 Sugar 랜섬웨어와..

국내외 보안동향 2022. 2. 3. 17:13

2022년 1월 25일, 연구원들이 Polkit의 pkexec 컴포넌트에 존재하는 취약점인 CVE-2021-4034(PwnKit)가 모든 주요 리눅스 배포판의 기본 구성에 존재하며, 시스템에 대한 전체 루트 권한을 얻는데 악용될 수 있다고 경고했습니다. 모든 Polkit 버전에 영향을 주는 CVE-2021-4034는 PwnKit이라고 명명되었으며, 약 12년 전 pkexec의 초기 커밋인 것으로 밝혀졌습니다. pkexec는 권한이 있는 프로세스와 권한이 없는 프로세스 간의 상호 작용을 협상하는 Polkit 오픈 소스 응용 프로그램 프레임워크의 일부입니다. pkexec를 사용하면 권한이 있는 사용자가 다른 사용자로 명령을 실행할 수 있습니다. 악용이 쉽고, PoC도 공개돼 정보 보안 회사인 Qualys의 ..

국내외 보안동향 2022. 1. 28. 09:36

SolarWinds는 Log4j 공격을 악용하는데 적극적으로 사용되었던 Serv-U 취약점을 패치했습니다. Microsoft는 Log4j 공격을 모니터링하는 동안 해당 취약점을 발견했다고 밝혔습니다. 이 취약점은 Microsoft 보안 연구원 Jonathan Bar Or가 발견한 입력 유효성 검사 취약점으로, 공격자는 쿼리를 생성해 네트워크로 전송할 수 있습니다. Microsoft는 Log4 권고 업데이트에서 "Log4j 2 취약점을 악용하는 공격을 지속적으로 모니터링하는 동안 SolarWinds Server-U 소프트웨어의 이전에 공개되지 않은 취약점을 이용한 공격 활동을 관찰했습니다."라고 설명합니다. "현재 CVE-2021-35247 취약점은 입력 유효성 검사 취약점이며 이를 통해 공격자는 일부 입..

국내외 보안동향 2022. 1. 20. 16:33

Europol이 랜섬웨어 조직을 포함한 다양한 사이버 범죄 그룹에 서비스를 제공하는 가상 사설망 제공업체인 VPNLab이 운영하는 서버 15대를 압수했습니다. 압수한 서버는 독일, 네덜란드, 캐나다, 체코, 프랑스, ​​헝가리, 라트비아, 우크라이나, 미국, 영국 등에 위치해 있었습니다. VPNLab의 서비스는 랜섬웨어 배포 및 기타 사이버 범죄 활동과 같은 심각한 범죄 행위를 지원하기 위해 사용되고 있었습니다. 대표적으로 해당 서비스는 Ryuk 랜섬웨어 공격에 사용되었습니다. VPNLab의 서비스는 운영이 중단되었으며 주요 웹사이트에는 이제 Europol 압수 배너가 표시됩니다. Europol 유럽 사이버 범죄 센터 책임자인 Edvardas Šileris는 "이번 수사를 통해 범죄자들이 온라인상에서 자..

국내외 보안동향 2022. 1. 19. 16:22

러시아연방보안국(FSB)이 미국 당국의 요청에 따라 모스크바, 상트페테르부르크, 레닌그라드, 리페츠크 등 25개 지역 수색을 통해 REvil 랜섬웨어 조직원 14명을 체포하였습니다. 구금된 이들은 모두 6년 이하의 징역형에 처할 수 있는 ‘불법 결제 수단 유통’ 혐의로 기소되었습니다. 체포 과정에서 러시아 당국은 RaaS 운영을 통해 벌어들인 돈으로 구매한 고급 자동차 20대, 컴퓨터 장비, 약 680만 달러 및 REvil 랜섬웨어 조직이 사용한 암호화폐 지갑 등을 압수하였습니다. REvil 조직원들은 랜섬웨어를 만들어 전 세계 기업 네트워크에 배포하는 것 외에도 외국 시민의 은행 계좌에서 돈을 훔치는 범죄에도 관여를 했습니다. FSB는 러시아 내무부와 공동 조치 결과, 조직화된 범죄 커뮤니티가 존재하지..

국내외 보안동향 2022. 1. 19. 09:26