- 한국형 랜섬웨어 귀신(Gwisin)이 최근 국내 기업들을 대상으로 공격 및 피해 속출
* 랜섬웨어 : 사용자 PC의 데이터를 암호화한 후 정상적인 동작(복호화)을 위한 대가로 금품을 요구
| 특징 | - 귀신이라는 한글형 이름, 한글 키보드 사용, 전문 기관에 신고하지 말라고 하는 등 북한 혹은 한글 사용 집단의 소행으로 추측 - 2021년 9월경 처음 등장 - 공격당한 PC의 배경화면을 "GWISIN 귀신"으로 바꾸며, 랜섬노트에는 내부 정보가 구체적으로 기재_타깃형 공격 - 암호화된 파일의 확장자명 역시 공격당한 기업의 이름을 사용, 공격 시간도 한국시간 기준 공휴일과 새벽시간대 |
| 동작 | - MSI 설치 파일 형태로 동작 - 파일 단독 실행만으로는 행위가 발현되지 않고 특별한 실행 인자 값이 필요하며, 이 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용_이러한 동작 방식의 특징으로 다양한 샌드박스 환경 보안 제품에서는 탐지가 어려울 수 있음 - 내부 DLL 파일은 윈도우 정상프로세스에 인젝션해 동작하며, 대상 프로세스는 고객사마다 다름 - 인자 검증이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화 - 정상 프로그램 'certreq.exe'를 실행환 후 복호화 한 쉘코드를 인젝션_인젝션된 셀코드는 귀신 램섬웨어 실행 |
- 보안뉴스
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다
한국형 랜섬웨어 ‘귀신(Gwisin)’이 최근 국내 기업들을 대상으로 공격을 지속하고 있으며 피해기업도 속출하고 있어 주의가 요구된다. 특히, 귀신 랜섬웨어는 영어를 사용하고는 있지만, 귀신
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| [긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중 (0) | 2022.08.02 |
|---|---|
| 브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다 (0) | 2022.08.02 |
| 아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게 (0) | 2022.07.27 |
| 수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려 (0) | 2022.07.26 |
| 화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가 (0) | 2022.07.26 |