2022-02-28 Mon

1. Conti 랜섬웨어의 내부 메시지 유출 Reference: https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/ 우크라이나 출신으로 추정되는 Conti 랜섬웨어 그룹의 내부자가 갱단의 친러시아 행위 이후 60,000개가 넘는 Conti 랜섬웨어의 내부 메시지가 유출했다. 유출된 메시지에는 이전에 보고되지 않은 피해자나 개인 데이터 유출 URL, 비트코인 주소 등을 포함하여 갱단의 활동에 대한 다양한 정보가 포함되어있다. 12월에 있었던 Shutterfly 공격이나 최근 확인되었던 TrickBot 공격 중단과 관련된 대화 내용이 포함되어있었다. 또한 Co..

2022-02-25 Fri

2022-02-25 Fri 1. 새로운 info stealer “ColdStealer” 배포중 Reference: https://asec.ahnlab.com/en/32090/ 새로운 형태의 정보 탈취형 악성코드 ColdStealer의 배포가 확인되었다. 해당 악성코드는 이전의 몇몇 유형과 유사하게 크랙 다운로드 소프트웨어나 툴등을 이용하여 배포되었다. 크랙으로 위장하는 악성코드들은 주로 두가지 유형으로 배포가 되었는데 첫번째는 CryptoBot 이나 RedLine 과 같은 싱글 타입의 악성코드로 배포 된 경우, 두번째는 드로퍼 형식으로 배포되는 경우이다. ColdStealer는 드로퍼 형식으로 배포 되었다. 실제 다운로더 역할을 하는 악성코드는 드로퍼에 포함이 되어있으며, 다운로더가 실행되면 ColdSt..

2022-02-24 Thur

1. 우크라이나를 타겟으로 한 새로운 data-wiper 악성코드 Reference: https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/ Analysis: https://twitter.com/juanandres_gs/status/1496581710368358400 장치에서 데이터를 복구 불가능하게하고, OS가 정상 작동을 하지 않도록 데이터를 지우는 악성코드가 확인되었다. Symantec과 ESET에서 새로운 data-wiper 악성코드를 발견하였으며, 현재도 공격에 이용되고 있다. ESET에서 공개한 해시는 21년 12월 28일에 컴파일 된 것으로 확인되어 ..

2022-02-22 Tue

1. 개조된 CryptBot 악성코드 불법 소프트웨어 사이트 통해 유포 Reference: https://www.bleepingcomputer.com/news/security/revamped-cryptbot-malware-spread-by-pirated-software-sites/ / https://asec.ahnlab.com/en/31802/ 새로운 버전의 정보탈취형 CryptBot이 게임이나 pro 버전의 소프트웨어 크랙을 무료로 제공하는 여러 웹사이트를 통해 배포되었다. CryptBot은 감염된 기기에서 저장된 브라우저 크리덴셜이나 쿠키, 브라우저 히스토리, 암호화폐 지갑, 카드나 파일 등 정보를 탈취하는 Windows 악성코드이다. 새롭게 확인된 버전은 몇가지 오래된 기능들은 제거되고, 더 경량화..

2022-02-17 Thur

1. 크립토재커 피해액 1억달러 Reference: https://www.boannews.com/media/view.asp?idx=104848&page=1&mkind=1&kind= 크립토재커란 가상 자산을 무단으로 채굴하는 악성코드이다. 이 크립토재커로 인한 피해액이 1억달러에 달하며 전체 악성코드 피해액의 73%를 차지한다고 한다. 공격자들은 가상자산 탈취 및 채굴을 위해 악성코드를 사용하며, 트로이목마, 인포스틸러, 클리퍼 등 다양한 유형의 악성코드를 사용하지만 크립토재킹을 통한 공격이 73%이다. 탈취된 자산들은 대부분 중앙화 거래소 주소로 전송되었으며, 악성코드 주소에서 전송한 자금 중 중앙화 거래소가 받은 자금 비중은 21년 54%, 20년 75%로 감소하였지만 디파이 프로토콜이 차지하는 비중이..

2022-02-15 Tue

1. 가짜 Microsoft 사이트를 통한 Redline 악성코드 유포 Reference: https://www.boannews.com/media/view.asp?idx=104786&page=1&mkind=1&kind=1 / https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/ Windows 11 을 다운로드 받을 수 있다는 안내가 있는 가짜 Microsoft 사이트가 발견되었다. 확인된 가짜 사이트 도메인은 windows-upgraded[.]com이고, 실제로 다운로드 받으면 Redline이라는 데이터 탈취형 악성코드가 설치된다. 다운로드 받으면 실제 인스톨러 대신 Windows11InstallationA..

2022-02-14 Mon

1. 더 어려워지는 LSASS를 통한 Windows 패스워드 탐지 Reference: https://www.bleepingcomputer.com/news/microsoft/microsoft-is-making-it-harder-to-steal-windows-passwords-from-memory/ Microsoft는 Windows의 자격증명을 도용하려는 공격자의 시도를 차단하기 위해 디폴트로 Microsoft Defender의 ‘Attack Surface Reduction’ 보안 규칙을 활성화 하고 있다. 가장 일반적인 방법으로는 장비에 대해 관리자 권한을 얻은 후 LSASS(Local Seuciryt Authority Server Service) 프로세스의 메모리를 덤프하는 방법이 있다. 해당 메모리 덤..

2022-02-11 Fri

Created: February 11, 2022 10:10 AM 1. Windows Defender 검사 우회 취약점 패치 Reference: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/ 최신 Windows10 버전에 영향을 미치는(최소 2014년부터 악용가능했던) 공격자가 Defender의 탐지 엔진을 우회하여 악성코드를 심고 실행할 수 있는 취약점이 패치되었다. HKLM\Software\Microsoft\Windows Defender\Exclusions 레지스트리키는 Microsoft Defender 검사에서 제외할 위치(파일, 폴더, ..