2023년 2분기 알약 마카오 카지노 슬롯 머신 행위기반 차단 건수 총 43,645건!

안녕하세요. 이스트시큐리티시큐리티대응센터(ESRC)입니다.

2023년 2분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘마카오 카지노 슬롯 머신 행위기반 사전 차단’기능을 통해 총 43,645건의 마카오 카지노 슬롯 머신 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 485건의 마카오 카지노 슬롯 머신 공격이 차단된 것으로 볼 수 있습니다.

이번통계는개인사용자를대상으로무료제공하는공개용알약백신프로그램의‘마카오 카지노 슬롯 머신행위기반사전차단기능’을통해차단된공격만을집계한결과입니다.

이밖에ESRC에서선정한2023년2분기주요마카오 카지노 슬롯 머신동향은다음과같습니다.

1)babuk마카오 카지노 슬롯 머신소스코드를이용한마카오 카지노 슬롯 머신변종의대거등장
2) 암호화 속도가 가장 빠른 로르샤흐(Rorschach) 마카오 카지노 슬롯 머신 등장
3) 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 마카오 카지노 슬롯 머신
4) 마카오 카지노 슬롯 머신의 공격방식도 지속적으로 진화하고 있습니다.
5) 중소기업만 노리는 마카오 카지노 슬롯 머신인 에잇베이스(8base) 마카오 카지노 슬롯 머신의 활동 급증하였습니다.

BabukLocker마카오 카지노 슬롯 머신는21년1월처음등장한기업용마카오 카지노 슬롯 머신로,피해자에따라고유확장자,랜섬노트,TorURL등을달리하였을뿐만아니라이중갈취전략을사용하며활발한활동을이어나갔습니다.하지만21년6월말,어떠한이유에서인지BabukLocker의마카오 카지노 슬롯 머신빌더가온라인에유출되었습니다.

이후22년하반기및23년상반기에BabukLocker소스코드를이용해제작된마카오 카지노 슬롯 머신들의변종들이대거발견되었으며,2023년4월에처음발견된RAGroup마카오 카지노 슬롯 머신역시Babuk마카오 카지노 슬롯 머신의유출된코드를활용하여제작되었습니다.
RAGroup마카오 카지노 슬롯 머신는2023년4월22일다크웹에데이터유출사이트를개설하며외부에알려졌습니다.주로미국과한국의제조,자산관리,보험,제약등의사업분야를타깃으로하며,국내의제약회사한곳도해당마카오 카지노 슬롯 머신그룹의공격으로인해내부정보가유출되었습니다.

이 밖에도 AstraLocker, Mario, RTMLocker 마카오 카지노 슬롯 머신 등 많은 마카오 카지노 슬롯 머신들이 유출된 Babuk Locker 소스코드를 재활용하여 제작된 것으로 확인되었습니다. 많은 공격자들이 Babuk Locker 소스코드를 이용하는 이유는 Linux 기반의 마카오 카지노 슬롯 머신로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문이라고 추측하고 있습니다.

로르샤흐(Rorschach)라는이름의새로운마카오 카지노 슬롯 머신가발견되었습니다.

RaaS세계에서빠른암호화속도는다른마카오 카지노 슬롯 머신들과의경쟁력조건중하나입니다.Lockbit3.0마카오 카지노 슬롯 머신는지금까지발견된마카오 카지노 슬롯 머신들중암호화속도가가장빨랐습니다.하지만Lockbit3.0마카오 카지노 슬롯 머신보다암호화속도가약2배더빠른로르샤흐(Rorschach)라는이름의새로운마카오 카지노 슬롯 머신가발견되었습니다.

이마카오 카지노 슬롯 머신는23년4월처음발견되었으며,해당마카오 카지노 슬롯 머신역시Babuk마카오 카지노 슬롯 머신코드의변종으로확인되었습니다.

로르샤흐마카오 카지노 슬롯 머신는상용보안SW의서명된구성요소를사용하여유포되었습니다.Windows도메인컨트롤러(DC)에서실행될때자동으로그룹정책을생성하여네트워크를통해빠르게전파되며"syscall"명령을사용하여직접시스템호출을수행합니다.LockBit및Babuk을포함한다른많은마카오 카지노 슬롯 머신변종과마찬가지로로르샤흐마카오 카지노 슬롯 머신역시전체파일내용이아닌파일의일부만암호화하여암호화속도를향상시키고효율성을높혔습니다.다만,이중갈취를위해데이터를유출하지는않는것으로확인되었습니다.

윈도우,리눅스및맥OS를모두감염시킬수있는새로운마카오 카지노 슬롯 머신가발견되었습니다.

새로발견된Cyclops공격그룹은RaaS서비스를통해윈도우,리눅스및맥OS를모두감염시킬수있는마카오 카지노 슬롯 머신를제공합니다.MacOS및Linux버전의Cyclops마카오 카지노 슬롯 머신는Go언어로작성되어있으며,비대칭암호화및대칭암호화가혼합된복잡한암호알고리즘을사용합니다.뿐만아니라다양한민감데이터를탈취하기위하여Go기반의인포스틸러도제공합니다.이인포스틸러는Windows및Linux시스템을대상으로설계되어운영체제정보,컴퓨터이름,특정확장자와일치하는파일등의세부정보를캡쳐하며,특정확장자파일에대해서는수집하여원격서버로전송합니다.

Cyclops마카오 카지노 슬롯 머신의암호화알고리즘및문자열난독화기술은Babuk마카오 카지노 슬롯 머신와LockBit마카오 카지노 슬롯 머신와유사하여,이두마카오 카지노 슬롯 머신와의연관성이있다고추측되고있습니다.

마카오 카지노 슬롯 머신의공격방식도지속적으로진화하고있습니다.

BlackCat마카오 카지노 슬롯 머신는최근보안SW를탐지를피하기위하여서명된악성Windows커널드라이버를사용하는것이포착되었습니다.분석결과악성윈도우커널드라이버는22년말마카오 카지노 슬롯 머신공격에사용된푸어트리(POORTRY)악성코드의업데이트버전으로,MS윈도우하드웨어개발자프로그램에서도난당한키를사용해서명된윈도우커널드라이버입니다.공격자는탈취하거나유출된교차서명인증서를통해서명된업데이트된POORTRY커널드라이버를배포하였으며,이를이용하여해킹된시스템에서권한상을을하고보안에이전트와관련된프로세스를중지하는등의기능을수행합니다.

최소한의흔적만을남겨분석을어렵게하는랩쳐(Rapture)라는마카오 카지노 슬롯 머신가발견되었습니다.

해당마카오 카지노 슬롯 머신는RSA키구성파일을사용하고.net실행파일로컴파일한다는점에서파라다이스마카오 카지노 슬롯 머신와유사하지만Themida를이용하여패킹하고최소한의흔적만을남겨분석을어렵게한특징이있습니다.

23년6월에는Clop마카오 카지노 슬롯 머신그룹이MFT솔루션인무브잇Transfer에서SQL인젝션취약점을이용하여공격을진행하는것이확인되었습니다.분석결과,클롭(Clop)마카오 카지노 슬롯 머신는이미2년전에해당취약점에대해이미알고있었으며,2021년7월부터해당취약점을익스플로잇할수있는방법에대해여러실험을진행하였다는점이확인되었습니다.하지만클롭조직은무브잇취약점을이용한공격을진행하지않고있다가,23년6월1일부터공격을시작하였으며,BBC,영국항공등무브잇트랜스퍼를사용하는많은기업들이피해를입었습니다.

중소기업만노리는마카오 카지노 슬롯 머신인에잇베이스(8base)마카오 카지노 슬롯 머신의활동급증하였습니다.

에잇베이스(8base)마카오 카지노 슬롯 머신는22년3월처음등장하였지만활발한활동을하지않았습니다.이마카오 카지노 슬롯 머신는주로보안이취약한중소기업들을공격대상으로삼으며,23년4~5월까지는소수의공격만진행했지만6월부터그활동이급증하였으며현재까지이미80개가넘는조직이해당마카오 카지노 슬롯 머신에공격을당한것으로확인되었으며,6월한달간가장많은공격을진행한마카오 카지노 슬롯 머신그룹순위중2위를차지하였습니다.해당마카오 카지노 슬롯 머신에대해분석을한결과랜섬노트와유출사이트가RansomHouse마카오 카지노 슬롯 머신와매우유사하여RansomHouse와관련이있을것으로추정하였지만,또다른분석가는8base마카오 카지노 슬롯 머신가최근공격에서사용한이메일확장자가Phobos마카오 카지노 슬롯 머신가사용한이메일주소와동일한점을이유로Phobos마카오 카지노 슬롯 머신와관련이있는것이아닌지추정하고있다.하지만8base마카오 카지노 슬롯 머신와관련하여아직알려진것이많이없어확실한건아직아무것도없습니다.

이 밖에 ESRC에서 선정한 2023년 1분기 새로 발견되었거나 주목할 만한 마카오 카지노 슬롯 머신는 다음과 같습니다.

이스트시큐리티는 마카오 카지노 슬롯 머신 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 마카오 카지노 슬롯 머신 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.