요약
- 과거 공격 패턴과는 다르게 미국 대형 소매상, 음식점, 슈퍼마켓 대상으로 FlawedAmmyy remote access Trojan과 Remote Manipulator System
소프트웨어 설치 파일을 첨부한 이메일 이용해 제한적 공격 실시.
- FlawedAmmyy : 유명한 원격 데스크탑 Ammy Admin의 유출된 소스 코드를 이용해 개발된 Trojan
- Remote Manipulator System(RMS) : TeamViewer와 유사한 원격 데스크톱 유틸리티
- 올해 7월 FlawedAmmyy RAT를 이용한 공격이 처음 탐지.
- 개인화된 악성 페이로드 : TA505의 공격 이메일은 Ricoh 브랜드 프린터로 스캔한 문서를 보낸 메시지처럼 디자인 됨.
스캔된 문서는 사실 악성 MS Word 첨부파일임. 악성 Word 파일은 공격대상 맞추어 해당 회사의 브랜드 로고 등을 포함함
또한 Macro를 삽입해 MSI 파일을 다운로드하고 실행하게 함 (MSI : 마이크로소프트 설치 파일, 윈도우 업데이트나 윈도우 프로그램 설치
파일로 사용됨)
- TA505는 최근 4년간 활발한 활동을 펼치고 있으며 과거 Dridex, Locky 랜섬웨어 공격의 주범으로 알려져 있음.
영향성
미국에 대한 제한적 공격이나, 피싱 공격이 급감하는 크리스마스 시즌에 주의 필요
참고자료
출처: https://threatpost.com/ta505-crooks-are-now-targeting-us-retailers-with-personalized-campaigns/139702/
'Incident Report' 카테고리의 다른 글
| [2018.12.14] 지난 혹스 메일에 이은 새로운 혹스 메일 등장 (0) | 2019.03.14 |
|---|---|
| [2018.12.10] 영국 보건서비스분야, 다음달부터 병원에서 FAX 구매 전면 금지와 단계적 사용 제한 (0) | 2019.03.14 |
| [2018.12.05] 중국, 새로운 랜섬웨어 기승. 100,000대 이상의 PC 감염 (0) | 2019.03.13 |
| [2018.12.03] 50,000개의 프린터 해킹으로 PewDiePie YouTube 채널 홍보 (0) | 2019.03.13 |
| [2018.11.29] 유출된 미국국가안보국(NSA) 해킹 툴, 수천 대의 컴퓨터를 하이재킹 하는데 사용 되고 있음(CVE-2017-0144,7494) (0) | 2019.03.13 |