취약한 MSSQL 서버를 대상으로 하는 글로브임포스터(GlobeImposter) 랜섬웨어가 국내에 유포되고 있는 것이 확인되었다. 안 그래도 2022년 2분기에 MSSQL을 겨냥한 전체 랜섬웨어 중 52.6%에 달하는데, 곧 공개될 3분기 통계에서도 큰 비중을 차지할 것으로 예상된다. [글로브임포스터 동작 방식] 1) 복호화 로직을 통해 암호화된 내부 데이터▶ 실질적인 랜섬웨어 행위를 수행하는 DLL로 복호화 2) 생성된 DLL파일의 메서드를 델리게이트 함수를 사용하여 호출한다. - 여기서 DLL파일이란 다른 프로그램에서 특정 작업을 수행하기 위해 호출할 수 있는 함수나 클래식 및 변수가 들어있는 파일 형식을 의미한다. 3) 해당 DLL파일은 aspnet_complier.exe 프로세스를 생성한 후 인젝..

Windows 멜론 플레이어(PC멜론) 실행 시 바로 강제종료 되어버리는 현상 발생. 재설치해도 동일한 현상. ＃1. 어떤 프로그램과 충돌되는 것으로 추측함. 보통 이런 경우, 보안 솔루션들이 문제였다. 하나씩 삭제해가며 멜론 실행 여부 확인 - 실패 ＃2. 생각해보니 이전에 교보Ebook 프로그램이 충돌을 일으켰었음 삭제 후 멜론 실행 확인 - 실패 ＃3. 혹시 네이버시리즈 ebook? - 실패 ＃4. 💡 Malware Zero 돌렸다. 로그를 확인하니, NAT Service라는 그리드 프로그램이 삭제되었음. + 해당 레지스트리 제거 멜론 실행 확인 - 성공 ✔ 📌 결론: 최근 자신이 웹하드 관련 프로그램을 설치했는지 확인하셈. 모르겠으면 그냥 Malware zero 돌리자. (링크)

해커뉴스에 따르면, 이터니티(Eternity)라는 해킹 그룹이 다크웹에서 서비스형 멀웨어(Malware-as-a-Service, MaaS)를 판매하고 있다고 한다. MaaS는 사이버 공격 수행을 목적으로 소프트웨어 및 하드웨어를 임대하는 서비스이다. 악성코드를 유포할 수 있는 유료 봇넷 서비스를 제공하며, 이 서비스는 다크웹에서 구매 가능하다. 릴리스봇(LilithBot)에는 암호화폐 채굴, 정보 탈추, 지속적 염탐 기능이 탑재되어 있다. 또한 분석 방해 및 Anti-VM 기능도 탑재되는 등 업그레이드도 꾸준히 진행 중으로 확인된다. 참고 기사 링크 (보안뉴스)

Maggie는 명령을 실행하고 파일과 상호작용 하도록 지시하는 SQL 쿼리를 통해 제어된다. Microsoft SQL Server의 관리자 암호에 대해 무차별 대입으로 확장되고, bridgehead 로서의 역할을 하게 된다. ＃bridgehead: 교두보. 어떤 일을 하기 위해 마련한 발판을 비유적으로 이르는 말. 원격 측정 데이터에 따르면 Maggie는 한국, 인도, 베트남, 중국, 러시아, 태국, 독일, 미국까지 널리 퍼져있다. [분석] 한국에서는 sqlmaggieAntiVirus_64.dll 이라는 이름으로 등장했으며, 이는 DEEPSoft Co.Ltd에서 서명한 확장 저장 프로시저 DLL로 위장한 것으로 보인다. Maggie는 해당 행위를 악용하여 51가지 명령으로 구성된 원격 백도어 액세스를 가..

RaaS(Ransomeware as a Service) 랜섬웨어 서비스로서의 소프트웨어(SaaS) 비즈니스 모델의 변형. 합법적인 SaaS 공급자가 제공하는 것과 동일한 기타 기능이 포함될 수 있음. - 연중무휴, 번들제안, 사용자 리뷰, 포럼, 기타 기능 ... RaaS 포털에 계정을 생성하여 로그인하고, 생성하려는 멀웨어 유형에 대한 세부 정보를 입력한 후 제출하면 된다. (지불방식은 역시나 비트코인) RaaS Kit의 잘 알려진 예시 - Locky - Goliath - Shark - Stampado - Encryptor - Jokeroo ... RaaS 운영자는 정기적으로 사라지고, 강력한 랜섬웨어 변종으로 다시 재구성되어 나타나곤 한다. 출처 (CROWDSTRIKE)

1. 2022년 9월 19일, 미국의 승차 공유 서비스(카풀) 업체인 우버(Uber)에서 대형 정보 유출 사고가 발생했다. 침투에 직접적으로 사용된 크리덴셜들의 출처는 다크웹인 것으로 확인된다. 구매한 크리덴셜으로 *다중인증에 대한 피로도를 높이는 방법*을 사용했고, 피로도가 높아진 상태에서 공격자들이 우버 IT 부서라고 속이며 접근하니 속았다고 한다. 2. 다중인증에 대한 피로도를 높이는 방법이란? MFA 피로(MFA fatigue)라고 알려진 기법이다. 공격자가 가진 크리덴셜(유출된)을 이용하여 MFA 인증 요청을 계속해서 보내는 것. 해당 크리덴셜의 주인이 짜증 나서 인증 앱 통해 요청을 승인할 때까지 스팸처럼.. 요청하는 것이다. 우버의 경우, 1) 한 직원에게 인증을 요청하는 푸시 알림을 1시간..

미국에서 가장 큰 은행 중 하나인 TD Bank에서 고객의 데이터가 유출되는 사고가 발생했다. 이전에 근무하던 직원이 고객의 개인정보를 훔쳐서 금융 사기에 이용한 것으로 확인됐다. TD Bank 측은 고객에게 "최근 2022년 5월에 당사 직원 중 한명이 귀하의 개인정보 중 일부에 부적절하게 접근하여 권한없는 제 3자에게 제공했을 수 있음을 발견했다" 라는 내용의 통지서를 전송했다. 해당 사고로 인해 유출된 개인정보는 [이름, 실제 주소, 사회보장번호(SSN), 생년월일, 거래정보, 계좌번호 ] 이다. 이 정보는 타겟형 무단결제, 피싱, 사회공학공격, 사기, 사칭, 신분 도용 및 은행 사기 등에 사용될 수 있다. TD Bank는 현재 사용중인 계좌를 없애고 새로운 계좌를 만들어서 사용하라고 권고했다. 참..

최근 드론이 각 산업 분야에 도입되면서 우려가 커지고 있다. 드론 시장의 규모는 점차 성장하고 있는데.. 이는 동시에 해커가 드론을 탈취하거나 공격 무기로 악용할 수 있는 범위도 넓어지고 있다는 것이다. [드론 해킹의 대표적인 수법] 1) 스푸핑(주파수 개로채기) 드론에게 GPS 신호를 보내 해커가 의도한 곳으로 이동-착륙하도록 한다. - 실제로 과거에 이란은 스푸핑으로 미군 드론을 자동 비행모드로 전환한 뒤 이란 영토로 유도하여 포획. (관련기사) 2) 드론 재밍(전파 방해) 드론에 GPS보다 강한 신호를 보내서 통신 무력화. 동작 불능 상태로 만든다. 드론 추락 시 물질적 피해 + 인명사고 발생 가능 제어권이 탈취된 드론에 저장된 데이터가 유출될 수 있으며.. 군사용 드론이 해킹될 경우 비행경로 등이..