보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2023년 1분기 알약 카지노 토토 행위기반 차단 건수 총 47,075건!
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2023년 1분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘카지노 토토 행위기반 사전 차단’기능을 통해 총 47,075건의 카지노 토토 공격을 차단했습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘카지노 토토 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.
알약 행위기반 카지노 토토 차단건수가 작년 동일분기 대비 73.51% 감소하였으며, 이는 국내에서 불특정 다수 사용자들을 대상으로 대량 유포되던 매그니베르 카지노 토토의 활동이 중단된 것이 가장 큰 원인 중 하나인 것으로 추정되고 있습니다.
이 밖에ESRC는 2023년 1분기 카지노 토토 주요 동향을 다음과 같이 선정하였습니다.
1) VMware ESXi 취약점을 이용한 대규모 카지노 토토 공격 발생
2) 글로벌 백신업체, 카지노 토토 복호화 툴 공개
3) LockBit 카지노 토토 공격의 지속
4) Nim 프로그래밍 언어로 제작된 카지노 토토 발견
5) 북한카지노 토토관련한미합동사이버보안권고발표
VMware ESXi는 전 세계적으로 많은 기업에서 사용중인 가상화 플랫폼으로, 해당 취약점을 이용한 대규모 카지노 토토 공격이 발생했습니다. 이번 공격은 주로 유럽 국가들을 대상으로 진행되었으며, 취약점이 패치되지 않은 ESXi 인스턴스를 공격 대상으로 삼았습니다. 해당 카지노 토토는 암호화 후 파일 확장자를 ".args"로 변경하며, 피해 기업에 몸값으로 약 2만 3천달러의 비트코인을 요구하는 것으로 확인되었습니다.
이번 대규모 공격에 대해 프랑스 CERT는 주의를 당부하는 공지를 발표하였으며, FBI와 CISA는 복구 스크립트를 개발하여 배포하였습니다. 하지만 공격자들이 복구 스크립트 공개 이후 암호화 타깃으로 삼는 구성 파일의 비율을 확대하여 복구 스크립트를 무력화 시켰습니다.
콘티(Conti) 카지노 토토의 제작자가 제작된 것으로 추정되는 로얄(Royal)카지노 토토의 리눅스 버전이 발견되었습니다. 로얄카지노 토토역시ESXi를공격대상으로하고있으며,파일암호화후확장자를.royal_u로변경합니다.
1분기에는 다양한 카지노 토토들에 대한 복호화 툴이 공개되기도 했습니다.
Avast는 22년 7월에 등장한 일부 BianLian 카지노 토토에 대한 무료 복호화 툴을 공개하였습니다. 해당 툴은 Avast 웹사이트에서 내려받을 수 있으며 BianLian 카지노 토토로 암호화 된 파일에서만 동작합니다. 비트디펜더(Bitdefender)는21년 10월 MegaCortex 카지노 토토 조직원 일부를 체포하는 과정에서 수집한 정보들을 기반으로 여러 집행 기관과 협력을 통해 MegaCortex 카지노 토토 복호화 툴을 제작하여 공개하였습니다. 뿐만 아니라피싱메일을 통해 유포되었던 MortalKombat 카지노 토토에 대한 복호화 툴도 공개하기도 했습니다.
락빗(LockBit) 카지노 토토의 위협이 지속되었습니다.
공격자들은 여전히 입사지원서를 위장한 피싱 메일 내 락빗 카지노 토토를 포함된 압축파일을 첨부하는 형태로 유포하였습니다. 파일명과 파일확장자 사이에 다수의 공백을 추가하고 아이콘을 문서 아이콘으로 위장하여 사용자의 실행을 유도한 점이 특징이며, 락빗 카지노 토토와 함께 Vidar과 같은 악성코드들도 함께 유포하였습니다.
3월 말, 락빗은 다크웹 희생자 목록에 국세청 홈페이지 주소를 추가하고 4월 1일 탈취한 정보들을 공개하겠다고 밝혔습니다. 당시 국세청은 공식적으로 드러난 피해가 없다고 밝혔으며, 결과적으로 해당 이슈는 단순히 협박으로 결론났습니다.
새로운 카지노 토토인 다크파워(DarkPower)가 등장하였습니다.
다크파워 카지노 토토는 2월 말부터 활동하기 시작하였으며, 한달도 안되는 사이에 10개의 조직들을 감염시켰습니다. 다크파워는 Nim 프로그래밍 언어로 제작되었으며, 다른 카지노 토토들과 마찬가지로 이중협박 전략을 사용합니다.전 세계 사용자들을 대상으로 공격중이며, 두 개의 버전으로 유포되었습니다.
Nim, Rust와 같은 새로운 프로그래밍 언어로 제작된 카지노 토토들은 점차 더 늘어날 것으로 예상됩니다.
북한 카지노 토토 관련하여 한국과 미국이 합동 사이버보안 권고를 발표하였습니다. 보안 권고문에는 북한이 자체 개발한 Maui, H0lyGh0st 카지노 토토에 대한 자세한 TTPs 및 침해지표(IoC) 정보와 함께 예방 대책이 포함되어 있습니다.
주로 국방 및 방산업체를 공격 대상으로 삼지만 다른 분야 역시 공격 표적이 될 수 있습니다. 기업 보안담당자 여러분들께서는 한미 합동 사이버보안 권고의 내용을 확인하시고 적절한 보안조치를 취하여 카지노 토토의 위협을 최소화 하도록 노력해야 하겠습니다.
이 밖에 ESRC에서 선정한 2023년 1분기 새로 발견되었거나 주목할 만한 카지노 토토는 다음과 같습니다.
카지노 토토명 | 주요내용 |
ESXiArgs | 2023년2월,ESXi의취약점(CVE-2021-21974)을이용하여대규모공격을진행하는카지노 토토가발견됨.해당카지노 토토는손상된ESXi서버에서다양한확장자를가진파일을암호화한후확장자를.args로변경하여ESXiArgs카지노 토토로명명됨.대규모공격이발생된이후얼마지나지안아CISA가카지노 토토복구스크립트를개발하여공개하였지만공격자들은곧이어복구스크립트를우회버전이공개됨. |
Mimic | 2022년6월처음발견되었으며,러시아어및영어사용자공격대상으로함.Windows용'Everything'파일검색도구의API를활용하여암호화대상파일을찾으며,일부코드가2022년3월유출된Conti카지노 토토소스와유사함. |
IceFire | 2022년3월등장한이후활동을하다가11월말이후활동을중단한IceFire카지노 토토가2023년1월초다시돌아옴.새로등장한IceFire카지노 토토는Linux시스템을주요공격대상으로삼고있으며암호화이후확장자를.ifire로변경하며자신을삭제하고바이너리를제거함.IceFire운영자는IBMAsperaFaspex파일공유소프트웨어(CVE-2022-47986)의역직렬화취약점을이용하여카지노 토토를유포함. |
Darkbit | 해당카지노 토토는Go언어로제작되어있으며,이스라엘의유명한교육기관인테크니온이스라엘공과대학(IIT)을공격함.랜섬노트에는반이스라엘및반정부수사내용이포함되어있으며최근기술산업전반에걸친정리해고에대한언급이있어공격자의공격사유는금전적이득보다는지정학적이유라고판단됨. |
Dark Power | 2023년2월말등장한카지노 토토로Nim프로그래밍언어를사용해제작됨.일반적인이중갈취방식을사용하며,한달도안되는시간동안10개의조직을공격함. |
Medusa | 2021년6월처음발견되었지만활동이적고희생자가거의없었음.2023년활발한활동을시작하였으며,랜섬머니지불을거부한피해자데이터를유출하는"메두사블로그"를시작함.많은사람들이Medusa와MedusaLocker카지노 토토가동일한카지노 토토라고생각했지만,사실이둘은완전히다른카지노 토토임. |
Lorenz | Lorenz-Lorenz카지노 토토는21년4월발견되었으며전세계조직을공격대상으로삼음.최근보안회사의분석과정중,Lorenz카지노 토토를유포하는그룹이시스템내침투하여백도어를심은사실이밝혀짐.이후오랜시간피해시스템내숨어있다가공격자의공격준비가완료된후백도어를통해Lorenz카지노 토토를유포함. |
불특정 다수를 대상으로 진행되는 카지노 토토의 공격은 현재 소강상태를 보이고 있으나, 기업을 대상으로 하는 공격은 여전히 활발히 이루어지고 있습니다.
기업 보안담당자 여러분들께서는 사내 시스템의 취약점 점검 및 패치를 진행하고, 주기적인 임직원 보안인식 교육과 주기적인 데이터 백업을 통하여 카지노 토토 공격에 대비하셔야 합니다.
개인사용자여러분들께서는알약과같은백신설치,자주사용하는SW를항상최신버전으로유지및주기적인백업등보안조치를통하여카지노 토토공격을차단하고,카지노 토토에감염되어도그피해를최소화시킬수있도록하여야합니다.
이스트시큐리티는카지노 토토감염으로인한국내사용자피해를미연에방지하기위해,한국인터넷진흥원(KISA)과의긴밀한협력을통해카지노 토토정보수집과유기적인대응협력을진행하고있습니다.
