요약
-지난 4일동안 새로운 랜섬웨어가 등장하며 100,000대 이상의 중국 PC를 감염시킴
-중국 웹사이트와 포럼을 통해 전파되며 감염 수는 현재도 증가 중.
-특징 :
º 기존 랜섬웨어처럼 비트코인을 지불 수단으로 사용 하지 않음
º 중국에서 가장 유명한 메시지 앱인 WeChat 페이를 통해 110위안(한화 1만 8천원)을 지불 요구
º 중국 사용자에 국한한 공격.
º 랜섬웨어는 감염된 시스템의 gif, exe, tmp 확장자 파일을 제외한 모든 파일을 암호화 함.
º 랜섬웨어 공격과 함께 웹사이트의 사용자 비밀번호 탈취함
(Alipay, NetEase 163 email service, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall , AliWangWang, and QQ website)
º Supplychain 공격(“EasyLanguage”라는 어플리캐이션 개발자들이 많이 사용하는 소프트웨어에 악성 코드를 삽입해서 퍼뜨림)
º 악성 소프트웨어를 사용해 개발된 모든 앱에 랜섬웨어가 삽입되어 퍼지게 됨.
º 백신에 탐지되는 것을 막기 위해, 신뢰되는 디지털 사인(예, Tencent Game, League of Legends, tmp, rtl 등의 프로그램)을 도용
-공격 과정 :
랜섬웨어에 감염 -> 파일 암호화 함, 동시에 중국 웹사이트와 소셜 미디어 계정 비밀번호, 시스템 정보(CPU모델, 화면 해상도, 네트워크 정보, 설치된 소프트웨어 이름) 탈취 -> 랜섬웨어 팝업이 뜨면서 110위안을 공격자의 WeChat 계정으로 3일안에 보낼 것을 요구->기간 내 지불하지 않을 시 해독키를 삭제하겠다는 메시지를 C&C서버에서 자동으로 보냄
-조사 결과, 공격자가 해독키를 감염 PC에 저장해 놓은 것이 발견 됨
(경로:%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg)
-중국 보안회사 Velvet Threat Intelligence (火绒威胁情报系统)는 무료 랜섬웨어 해독툴을 만들어 배포하고 공격자의 C&C에 접근해 MySQL DB서버에 저장된 수천 개의 도난 개인 정보를 발견
-공격자: ""lsy resource assistant"" and ""LSY classic alarm v1.1"" 등의 어플리케이션을 개발한 Luo 라는 소프트웨어 프로그래머로 추정.
-WeChat은 현재 공격자의 지불수단 계정 사용을 금지함
영향성
지불 방법이 중국 WeChat을 이용하고 중국기반 앱 사용자를 대상으로 한 제한적인 공격임.
참고자료
출처: https://thehackernews.com/2018/12/china-ransomware-wechat.html
https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/
'Incident Report' 카테고리의 다른 글
| [2018.12.10] 영국 보건서비스분야, 다음달부터 병원에서 FAX 구매 전면 금지와 단계적 사용 제한 (0) | 2019.03.14 |
|---|---|
| [2018.12.10] 금융 범죄 단체 TA505, 미국 소매업체 대상의 타겟 공격 (0) | 2019.03.14 |
| [2018.12.03] 50,000개의 프린터 해킹으로 PewDiePie YouTube 채널 홍보 (0) | 2019.03.13 |
| [2018.11.29] 유출된 미국국가안보국(NSA) 해킹 툴, 수천 대의 컴퓨터를 하이재킹 하는데 사용 되고 있음(CVE-2017-0144,7494) (0) | 2019.03.13 |
| [2018.11.28] 최근 미국우체국(USPS), Amazon 데이터 유출은 API 보안 허점과 연관 (0) | 2019.03.13 |