2023년 2분기 알약 카지노 꽁 행위기반 차단 건수 총 43,645건!

안녕하세요. 이스트시큐리티시큐리티대응센터(ESRC)입니다.

2023년 2분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘카지노 꽁 행위기반 사전 차단’기능을 통해 총 43,645건의 카지노 꽁 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 485건의 카지노 꽁 공격이 차단된 것으로 볼 수 있습니다.

이번통계는개인사용자를대상으로무료제공하는공개용알약백신프로그램의‘카지노 꽁행위기반사전차단기능’을통해차단된공격만을집계한결과입니다.

이밖에ESRC에서선정한2023년2분기주요카지노 꽁동향은다음과같습니다.

1)babuk카지노 꽁소스코드를이용한카지노 꽁변종의대거등장
2) 암호화 속도가 가장 빠른 로르샤흐(Rorschach) 카지노 꽁 등장
3) 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 카지노 꽁
4) 카지노 꽁의 공격방식도 지속적으로 진화하고 있습니다.
5) 중소기업만 노리는 카지노 꽁인 에잇베이스(8base) 카지노 꽁의 활동 급증하였습니다.

BabukLocker카지노 꽁는21년1월처음등장한기업용카지노 꽁로,피해자에따라고유확장자,랜섬노트,TorURL등을달리하였을뿐만아니라이중갈취전략을사용하며활발한활동을이어나갔습니다.하지만21년6월말,어떠한이유에서인지BabukLocker의카지노 꽁빌더가온라인에유출되었습니다.

이후22년하반기및23년상반기에BabukLocker소스코드를이용해제작된카지노 꽁들의변종들이대거발견되었으며,2023년4월에처음발견된RAGroup카지노 꽁역시Babuk카지노 꽁의유출된코드를활용하여제작되었습니다.
RAGroup카지노 꽁는2023년4월22일다크웹에데이터유출사이트를개설하며외부에알려졌습니다.주로미국과한국의제조,자산관리,보험,제약등의사업분야를타깃으로하며,국내의제약회사한곳도해당카지노 꽁그룹의공격으로인해내부정보가유출되었습니다.

이 밖에도 AstraLocker, Mario, RTMLocker 카지노 꽁 등 많은 카지노 꽁들이 유출된 Babuk Locker 소스코드를 재활용하여 제작된 것으로 확인되었습니다. 많은 공격자들이 Babuk Locker 소스코드를 이용하는 이유는 Linux 기반의 카지노 꽁로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문이라고 추측하고 있습니다.

로르샤흐(Rorschach)라는이름의새로운카지노 꽁가발견되었습니다.

RaaS세계에서빠른암호화속도는다른카지노 꽁들과의경쟁력조건중하나입니다.Lockbit3.0카지노 꽁는지금까지발견된카지노 꽁들중암호화속도가가장빨랐습니다.하지만Lockbit3.0카지노 꽁보다암호화속도가약2배더빠른로르샤흐(Rorschach)라는이름의새로운카지노 꽁가발견되었습니다.

이카지노 꽁는23년4월처음발견되었으며,해당카지노 꽁역시Babuk카지노 꽁코드의변종으로확인되었습니다.

로르샤흐카지노 꽁는상용보안SW의서명된구성요소를사용하여유포되었습니다.Windows도메인컨트롤러(DC)에서실행될때자동으로그룹정책을생성하여네트워크를통해빠르게전파되며"syscall"명령을사용하여직접시스템호출을수행합니다.LockBit및Babuk을포함한다른많은카지노 꽁변종과마찬가지로로르샤흐카지노 꽁역시전체파일내용이아닌파일의일부만암호화하여암호화속도를향상시키고효율성을높혔습니다.다만,이중갈취를위해데이터를유출하지는않는것으로확인되었습니다.

윈도우,리눅스및맥OS를모두감염시킬수있는새로운카지노 꽁가발견되었습니다.

새로발견된Cyclops공격그룹은RaaS서비스를통해윈도우,리눅스및맥OS를모두감염시킬수있는카지노 꽁를제공합니다.MacOS및Linux버전의Cyclops카지노 꽁는Go언어로작성되어있으며,비대칭암호화및대칭암호화가혼합된복잡한암호알고리즘을사용합니다.뿐만아니라다양한민감데이터를탈취하기위하여Go기반의인포스틸러도제공합니다.이인포스틸러는Windows및Linux시스템을대상으로설계되어운영체제정보,컴퓨터이름,특정확장자와일치하는파일등의세부정보를캡쳐하며,특정확장자파일에대해서는수집하여원격서버로전송합니다.

Cyclops카지노 꽁의암호화알고리즘및문자열난독화기술은Babuk카지노 꽁와LockBit카지노 꽁와유사하여,이두카지노 꽁와의연관성이있다고추측되고있습니다.

카지노 꽁의공격방식도지속적으로진화하고있습니다.

BlackCat카지노 꽁는최근보안SW를탐지를피하기위하여서명된악성Windows커널드라이버를사용하는것이포착되었습니다.분석결과악성윈도우커널드라이버는22년말카지노 꽁공격에사용된푸어트리(POORTRY)악성코드의업데이트버전으로,MS윈도우하드웨어개발자프로그램에서도난당한키를사용해서명된윈도우커널드라이버입니다.공격자는탈취하거나유출된교차서명인증서를통해서명된업데이트된POORTRY커널드라이버를배포하였으며,이를이용하여해킹된시스템에서권한상을을하고보안에이전트와관련된프로세스를중지하는등의기능을수행합니다.

최소한의흔적만을남겨분석을어렵게하는랩쳐(Rapture)라는카지노 꽁가발견되었습니다.

해당카지노 꽁는RSA키구성파일을사용하고.net실행파일로컴파일한다는점에서파라다이스카지노 꽁와유사하지만Themida를이용하여패킹하고최소한의흔적만을남겨분석을어렵게한특징이있습니다.

23년6월에는Clop카지노 꽁그룹이MFT솔루션인무브잇Transfer에서SQL인젝션취약점을이용하여공격을진행하는것이확인되었습니다.분석결과,클롭(Clop)카지노 꽁는이미2년전에해당취약점에대해이미알고있었으며,2021년7월부터해당취약점을익스플로잇할수있는방법에대해여러실험을진행하였다는점이확인되었습니다.하지만클롭조직은무브잇취약점을이용한공격을진행하지않고있다가,23년6월1일부터공격을시작하였으며,BBC,영국항공등무브잇트랜스퍼를사용하는많은기업들이피해를입었습니다.

중소기업만노리는카지노 꽁인에잇베이스(8base)카지노 꽁의활동급증하였습니다.

에잇베이스(8base)카지노 꽁는22년3월처음등장하였지만활발한활동을하지않았습니다.이카지노 꽁는주로보안이취약한중소기업들을공격대상으로삼으며,23년4~5월까지는소수의공격만진행했지만6월부터그활동이급증하였으며현재까지이미80개가넘는조직이해당카지노 꽁에공격을당한것으로확인되었으며,6월한달간가장많은공격을진행한카지노 꽁그룹순위중2위를차지하였습니다.해당카지노 꽁에대해분석을한결과랜섬노트와유출사이트가RansomHouse카지노 꽁와매우유사하여RansomHouse와관련이있을것으로추정하였지만,또다른분석가는8base카지노 꽁가최근공격에서사용한이메일확장자가Phobos카지노 꽁가사용한이메일주소와동일한점을이유로Phobos카지노 꽁와관련이있는것이아닌지추정하고있다.하지만8base카지노 꽁와관련하여아직알려진것이많이없어확실한건아직아무것도없습니다.

이 밖에 ESRC에서 선정한 2023년 1분기 새로 발견되었거나 주목할 만한 카지노 꽁는 다음과 같습니다.

이스트시큐리티는 카지노 꽁 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 카지노 꽁 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.