CCleaner 크랙 버전을 통해 확산되는 인포스틸러 악성코드 01. FakeCrack CCleaner Pro Windows 최적화 프로그램의 크랙 버전을 통해 비밀번호, 신용 카드 및 암호화폐 지갑을 훔치는 악성 프로그램이 확산되고 있습니다. 해당 악성 프로그램은 개인 데이터와 암호화폐 자산을 수집하고 데이터 캡처 프록시를 통해 인터넷 트래픽을 라우팅할 수 있는 인포스틸러입니다. 보안 회사 Avast의 분석가에 의해 발견된 새로운 악성 프로그램 배포 캠페인은 'FakeCrack'이라고 명명되었으며, 고객 데이터에서 매일 평균 10,000건의 감염 시도를 탐지했다고 보고하였습니다. 02. 공격의 시작 위협 행위자는 *Black Hat SEO 기술에 따라 Google 검색 결과에서 악성 프로그램 배포 웹사..

보안 카드뉴스 2022. 6. 10. 13:31

3월에 Google에 인수된 미국 사이버 보안 회사인 Mandiant는 회사 네트워크를 해킹하고 데이터를 탈취했다는 Lockbit 랜섬웨어 갱단의 주장을 조사하고 있습니다. LockBit 랜섬웨어 그룹은 6일경, 데이터 유출 웹 사이트에 Mandiant에서 탈취한 것으로 의심되는 356,841개의 파일이 온라인으로 유출될 것이라는 게시글을 작성했습니다. 갱단의 다크 웹 누출 사이트는 카운트다운이 끝날 때까지 시간이 얼마 남지 않았다는 타이머와 같이 “사용 가능한 모든 데이터가 게시됩니다!”라고 위협하고 있습니다. [그림 1] 파일 공개 타이머 (@serghei) Lockbit은 유출 페이지의 파일 목록이 비어 있어 Mandiant의 시스템에서 탈취했다고 주장하는 파일을 아직 밝히지 않았으나 페이지에는 m..

국내외 보안동향 2022. 6. 7. 14:27

1. 개요 최근 F5 BIG-IP의 원격코드 실행 취약점(CVE-2022-1388)이 공개되면서, 공격자들은 대대적으로 이를 악용하기 시작했습니다. 아래 그림은 트위터에서 공유된 관련 취약점 공격 패킷 중 하나이며, 원격 실행된 명령을 통해 악성코드가 호스팅 된 IP 정보를 확인할 수가 있습니다. [그림 1]에서 확인된 IP(154.23.191[.]157:5896)에 접속해보면 패킷에서 확인되는 파일은 확인할 수 없었지만, 또 다른 악성코드가 호스팅 되어 있는 것을 발견할 수 있었습니다. 분석 결과, 해당 악성코드(589.exe)는 원격제어 악성코드인 Gh0st RAT의 변종으로 확인되었습니다. Gh0st RAT는 인터넷에 오픈소스로 공개되어 있기 때문에 많은 공격자들이 사용하는 원격제어 악성코드 중 하..

악성코드 분석 리포트 2022. 6. 3. 12:17

CVE-2022-30190 취약점에서 파생된 ProtocolNightmare 제로데이 취약점은 Word 문서를 실행하기만해도 원격으로 호스팅되는 악성실행 파일이 포함된 검색 창을 자동으로 열 수 있습니다. 이 취약점은 윈도우에서 '응용 프로그램 및 HTML 링크'가 사용자 지정 검색 기능인 'search-ms'라는 URI 프로토콜 핸들러를 지원하기 때문에 발생할 수 있었습니다. 대부분의 윈도우 검색은 로컬 장치의 인덱스를 검색하지만, 원격 호스트의 파일 공유 목록을 검색하고 검색 창에 사용자가 지정한 제목을 사용하도록 강제할 수도 있습니다. 예를 들어, Sysinternals 도구를 사용하면 live.sysinternals.com을 네트워크 공유로 원격 마운트하여 유틸리티를 실행할 수 있습니다. 이 원격..

국내외 보안동향 2022. 6. 2. 15:20

NCC 그룹의 연구원에 따르면, 2021년 11월부터 2022년 2월까지 전체 운영을 중단했던 Clop 랜섬웨어 조직이 복귀한 것으로 나타났습니다. NCC 그룹은 “Clop은 3월에 가장 활동이 적은 위협 행위자에서 4월에는 네 번째로 활동적인 위협 행위자로 올라섰으며, 랜섬웨어 위협 환경의 최전선에 폭발적이고 예상치 못한 복귀를 했습니다.”라고 말했습니다. 이러한 활동 급증은 Clop 랜섬웨어 그룹이 지난 4월 한 달 만에 데이터 유출 사이트에 21명의 새로운 희생자를 추가한 이후에 나타났습니다. NCC 그룹은 “4월에 위협 행위자를 표적으로 삼는 데 눈에 띄는 변동이 있었다"며, "Lockbit 2.0(103명의 피해자)과 Conti(45명의 피해자)가 여전히 가장 많은 위협 행위자이지만, Clop의..

국내외 보안동향 2022. 6. 2. 15:13

1. 개요 2022년 5월 30일, Microsoft는 Windows 환경에서 Microsoft 지원 진단 도구(MSDT)의 원격 코드 실행 취약점(CVE-2022-30190, Follina Zero-Day)을 발표했습니다. 해당 취약점은 일본 보안업체인 Nao Sec의 트위터를 통해 알려졌으며, 최초 발견된 샘플이 이탈리아 Follina의 지역 코드인 0438을 참조한다는 점에서 "Follina"로 명명되었습니다. 공격자는 MS Office 문서 파일의 외부 링크 참조를 통해 악성 HTML을 로드 한 뒤, 'ms-msdt' 체계를 사용하여 PowerShell 코드를 실행할 수 있습니다. 이를 통해 공격자는 프로그램을 설치하거나 데이터를 변경·삭제할 수 있으며, 자격 증명을 수집하고, 사용자 권한이 허용..

취약점 분석 리포트 2022. 6. 2. 11:01

ChromeLoader 악성코드 급증으로 전 세계 브라우저 위협 보안 업체 Red Canary는 새로운 ChromeLoader(Choziosi loader) 악성코드가 지난 5개월 간 크게 증가해 전 세계적으로 브라우저 하이재킹 위협이 증가하고 있다고 밝혔습니다. 공격자는 Twitter에서 QR 코드를 통해 불법 복제 소프트웨어를 다운받을 수 있다고 말하며 악성 ISO 파일을 다운로드하도록 유도합니다. *브라우저 하이재킹: 사용자의 허가 없이 웹 브라우저 설정을 수정해 원치 않는 광고를 브라우저에 삽입하는 공격 수법 ChromeLoader 악성코드는 피해자의 웹 브라우저 설정을 수정해 공격자가 제휴한 광고 웹사이트로 리디렉션합니다. 공격자는 광고 수익을 통해 금전적 이득을 얻습니다. 지금까지 다양한 종류..

보안 카드뉴스 2022. 5. 27. 17:45

최근 깃허브 저장소를 통해 Windows SMB 원격 코드 실행 취약점(CVE-2022-24500)의 Exploit 도구로 위장한 악성코드가 유포된 정황이 발견되었습니다. Exploit이 성공적으로 이루어지는 것처럼 보이는 이미지 파일을 함께 첨부하는 등 교묘하게 정상 파일로 위장하였기 때문에 자칫 사용자들은 무심코 이를 다운로드하여 실행할 수 있습니다. 업로드 되어 있는 파일들 중 실제 악성코드인 “CVE-2022-24500.exe” 파일에 대해 분석을 진행하였으며, 샘플 정보는 아래 표와 같습니다. 구분 내용 샘플명 CVE-2022-24500.exe MD5 FDCF0AAD080452FA14DF221E74CCA7D0 SHA1 7431846D707140783EEA466225E872F8757533E3 Vi..

악성코드 분석 리포트 2022. 5. 24. 09:57