1. 트위터에서 더 많은 Conti Ransomeware 소스코드 유출
이전(https://biji-jjigae.tistory.com/171, https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/) 포스팅에도 나왔듯이 Conti 조직이 러시아 편을 든 이후 우크라이나 보안 연구원이 복수의 일환으로 Conti 내부 정보를 유출하였었으며, 더 많은 소스코드를 유출했다고 한다.
중간에 유출한 코드는 2020년 9월 15일자 코드로 비교적 오래된 소스코드였지만 이번에 유출 된 코드는 2021년 1월 25일로 훨씬 최신의 코드로 확인되었다.
해당 소스코드는 오류 없이 컴파일되며 다른 공격자가 자체 공개키를 사용하거나 새로운 기능을 쉽게 추가할 수 있다. 컴파일하여 나오는 파일은 cryptor.exe , cryptor_dll.dll , decryptor.exe 이다.
이렇게 유출된 랜섬웨어의 소스코드를 사용하여 자체 랜섬웨어를 생성하고 다른 공격을 수행하는 경우가 일반적이기 때문에 기업과 소비자들은 유의해야한다.
IOC
압축 소스코드 SHA-256: 0737ebb6ede108d90216bc06ccfce57defa2179bfda93a34edd868a6f9172a78
2. Chrome 브라우저 창을 만들 수 있는 새로운 Phishing toolkit
일반적으로 웹사이트에 로그인을 할 때 Google, Microsoft, Apple, Twitter, Steam 등으로 로그인하는 옵션이 존재한다. 과거에 사용되던 HTML, CSS, Javascript를 사용하여 만드는 가짜 SSO 창들은 정상 페이지와 약간 차이가 있어 의심스럽게 보이는 것이 많았다.
새로운 피싱 툴킷은 실제 정상적인 브라우저 안에 가짜 브라우저 창을 넣어서 피싱 공격을 할 수 있다(Browser in the Browser attacks: BitB). BitB 템플릿은 mrd0x가 만들었으며 Github 레포가 공개되어 있다. 이 템플릿들은 Windows와 Mac의 dark/light 모드를 포함하고 있다.
이를 이용하여 가짜 브라우저 창에서 원하는 url과 창 제목을 포함하도록 할 수 있고, iframe을 사용해서 로그인 양식을 표시할 수 있다. 따라서 정상적인 url을 보여줌으로써 피싱을 좀 더 효과적으로 할 수 있다.
해당 기술은 새로운 것이 아니며 Zscaler에서 확인한 바로 2020년에 Steam 자격 증명을 훔치기 위해 가짜 게임 사이트에서 해당 기술을 사용하였다고 한다.
BitB Github: https://github.com/mrd0x/BITB
'깔짝할짝' 카테고리의 다른 글
| 2022-03-23 Wed (0) | 2022.03.23 |
|---|---|
| 2022-03-22 Tue (0) | 2022.03.22 |
| 202-03-18 Fri (0) | 2022.03.18 |
| 2022-03-16 Wed (0) | 2022.03.16 |
| 2022-03-14 Mon (2) | 2022.03.14 |