안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 44CALIBER 악성코드는 2년전 러시아 개발자에 의해서 github에 소스가 공개된 것을 악성코드 제작자들이 소스 수정을 통하여 악성코드로 활용하고 있습니다. 주요 특징은 요즘 게이머들 뿐만 아니라 일반인들도 많이 사용하는 디스코드 메신저에서 제공하는 “Discord Webhook API”를 사용하여 사용자 크리덴셜 정보를 전송합니다. “Discord Webhook API”를 사용하면 디스코드 채널에 메시지 및 파일을 자동으로 올릴 수 있습니다. ‘44CALIBER’ 악성코드는 디스코드 메시저에서 제공하는 Webhook api를 사용하여 사용자 시스템의 크리덴셜 정보를 디스코드 채널로 전송받는 인포스틸러 악성코드입니다. 해당 악성코드는..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Raccoon Stealer는 이름에서 알 수 있듯이 인포스틸러(Infostealer) 악성코드로 2019년 처음으로 등장했으며, 2022년 6월 Raccoon Stealer v2로 변형되어 다시 등장했습니다. 최근 검색엔진에서 사용 소프트웨어의 크랙, 유료 게임 불법 다운로드 등을 검색하여 나오는 페이지를 통해 [그림 1]의 형태로 리다이렉트되어 유포되고 있습니다. Raccoon Stealer v2는 브라우저의 데이터 정보, 디스코드 및 텔레그램 정보, 가상화폐 지갑 정보, 특정 파일 등을 탈취하는 기능을 가지고 있습니다. 또한, C&C 주소에서 추가 악성코드를 다운로드 후 실행하는 기능을 가지고 있어 2차 피해를 유발할 수 있습니다. ..

악성코드 분석 리포트 2022. 10. 24. 11:00

Bitter cyberspies target South Asian govts with new malware 사이버 스파이 활동을 주로 실행하는 APT 그룹인 Bitter가 원격 파일 실행 기능을 갖춘 악성코드로 방글라데시 정부를 노리고 있는 것으로 나타났습니다. 해당 캠페인은 최소 2021년 8월부터 진행되었으며, 2013년 이후 타겟팅 범위를 변경하지 않았습니다. 이 캠페인은 Cisco Talos의 연구원들이 발견 및 분석했습니다. Cisco Talos의 연구원은 이 캠페인이 Bitter의 과거 캠페인과 C2 IP 주소, 문자열 암호화 공통성, 모듈 명명 ​​체계 등이 유사하다는 이유를 들어 이를 Bitter의 작업으로 추정했습니다. 감염 체인 이 캠페인은 방글라데시 정부 내 다양한 조직을 노렸습니다...

국내외 보안동향 2022. 5. 12. 09:00

Experts Detail Saintstealer and Prynt Stealer Info-Stealing Malware Families 사이버 보안 연구원들이 크리덴셜 및 시스템 정보를 빼내도록 설계된 인포 스틸러 악성코드인 Saintstealer에 대한 분석을 공개했습니다. Cyble의 연구원들은 지난주 분석을 통해 아래와 같이 밝혔습니다. "해당 스틸러는 실행된 후 사용자 이름, 비밀번호, 신용 카드 정보 등을 추출합니다.” "또한 시스템의 다양한 위치에서 데이터를 훔쳐 비밀번호로 보호된 ZIP 파일로 압축합니다." "saintgang.exe"라는 이름의 32비트 C# .NET 기반 실행 파일 형태인 Saintstealer는 샌드박스 또는 가상 환경에서 실행 중일 경우 자체적으로 종료되는 분석 방지..

국내외 보안동향 2022. 5. 11. 14:00

New powerful Prynt Stealer malware sells for just $100 per month 연구원들이 인포 스틸러인 Prynt Stealer의 진화된 버전을 발견했습니다. 이 새로운 버전은 강력한 기능이 추가되었으며 키로거 및 클리퍼 모듈을 제공합니다. Prynt Stealer는 다양한 웹 브라우저, 메시징 앱, 게임 앱을 노리며 직접적인 금전 피해를 입힐 수 있습니다. 이들은 해당 툴을 100$/월, $200/분기, $700/년, 또는 $900/무제한에 판매하고 있었습니다. 또한 구매자는 악성코드 빌더를 활용해 타깃 작업에 배포할 Prynt의 특수하고 간단한 탐지하기 어려운 스핀을 만들 수도 있습니다. 폭넓은 훔치기 기능 Cyble의 악성코드 분석가는 Prynt를 분석한 결과 ..

국내외 보안동향 2022. 4. 26. 09:00

New ZingoStealer infostealer drops more malware, cryptominers 새로운 인포 스틸러인 ZingoStealer가 강력한 데이터 도용 기능 및 추가 페이로드를 로드하고 모네로를 채굴할 수 있는 기능을 가진 것으로 나타났습니다. 이 새로운 악성코드는 최근 소스코드를 500달러에 판매하려 시도한 "Haskers Gang"이라는 공격자 그룹이 무료로 개발 및 배포했습니다. Cisco Talos의 연구원이 해당 광고를 발견한 직후, ZingoStealer는 개발을 맡을 새로운 공격자에게 이를 넘겼습니다. 공격자들은 텔레그램과 디스코드 채널 모두에서 이 인포 스틸러를 무료로 배포하고 있습니다. 이러한 유형의 악성코드에 대한 수요가 증가하고 있기 때문에, 배포 또한 매우 ..

국내외 보안동향 2022. 4. 15. 09:00

New Meta information stealer distributed in malspam campaign 최신 악성 스팸 캠페인이 사이버 공격자 사이에서 인기있는 인포 스틸러 악성코드인 새로운 META 악성코드를 배포하는 것으로 나타났습니다. META는 Mars Stealer, BlackGuard와 함께 새로운 인포 스틸러 중 하나로, 운영자는 Raccoon Stealer가 운영을 중단한 후 다른 플랫폼을 찾고 있는 사람들을 이용합니다. 이 툴은 한 달에 $125, 무제한 $1,000에 판매되고 있으며 RedLine의 개선된 버전이라 광고했습니다. 새로운 Meta 악성 스팸 캠페인 보안 연구원인 Brad Duncan이 발견한 이 새로운 스팸 캠페인은 META가 공격에 적극적으로 사용되어 Chrome,..

국내외 보안동향 2022. 4. 11. 09:00

TinyNuke info-stealing malware is again attacking French users 인포 스틸링 악성코드인 TinyNuke가 프랑스 사용자들을 노리는 새로운 캠페인을 통해 재등장했습니다. 이들은 제조, 기술, 건설, 비즈니스 서비스의 개인 및 회사 이메일 주소로 인보이스로 위장한 피싱 이메일을 전송했습니다. 이 캠페인의 목표는 크리덴셜 및 기타 개인 정보를 훔치고 해킹된 시스템에 추가 페이로드를 설치하는 것입니다. TinyNuke의 재등장 TinyNuke 악성코드는 2017년에 처음 발견되어 2018년 정점에 이르렀다가 2019년에 크게 감소했으며 2020년에는 거의 사라졌습니다. 해당 캠페인을 분석한 Proofpoint의 연구원은 이 악성코드가 두 세트로 이루어진 별도의 C..

국내외 보안동향 2021. 12. 14. 09:00