해커를 해킹한 사례로, 위협 헌터들은 BlackLock이라는 랜섬웨어 그룹과 관련된 온라인 인프라에 침투하여 그들의 작전 방식에 대한 중요한 정보를 밝혀냈다.   보안 회사는 이 전자범죄 그룹이 운영하는 데이터 유출 사이트(DLS)에서 보안 취약점을 발견했으며 이를 통해 구성 파일, 자격 증명, 그리고 서버에서 실행된 명령어 내역 등을 추출할 수 있었다고 밝혔다.   해당 취약점은 "BlackLock 랜섬웨어의 데이터 유출 사이트(DLS)의 특정 잘못된 구성과 관련되어 있으며 TOR 은닉 서비스 뒤에 있는 네트워크 인프라와 관련된 클리어넷 IP 주소 및 추가 서비스 정보가 노출되었다."고 설명했다.   회사는 이 명령어 기록을 "BlackLock 랜섬웨어의 가장 큰 운영 보안(OPSEC) 실패 중 하나"로 평가했다.   BlackLock은 Eldorado라는 다른 랜섬웨어 그룹의 리브랜딩 버전으로 이후 2025년 가장 활발한 강요형 사이버 범죄 조직 중 하나로 부상했으며 기술, 제조, 건설, 금융, 소매 부문을 집중적으로 겨냥하고 있다.    영향을 받은 조직들은 아르헨티나, 아루바, 브라질, 캐나다, 콩고, 크로아티아, 페루, 프랑스, 이탈리아, 네덜란드, 스페인, 아랍에미리트, 영국, 미국에 위치해 있다.   2025년 1월 중순, 이 그룹은 지하 제휴 네트워크를 출범한다고 발표했으며 악성 페이지로 피해자를 유도해 초기 시스템 접근 권한을 확보하는 악성코드를 배포하기 위해 traffer(트래픽 유도자)를 적극적으로 모집하는 것이 관찰되었다.       [그림 1. BlackLock 데이터 유출 인프라 구조도]     보안 회사가 확인한 취약점은 로컬 파일 포함(LFI) 버그로 경로 이동 공격을 통해 웹 서버가 민감한 정보를 유출하도록 속이는 방식이며 여기에는 운영자들이 유출 사이트에서 실행한 명령어 내역도 포함되어 있다.   다음은 주목할 만한 발견 사항들이다: Rclone을 사용해 데이터를 MEGA 클라우드 저장소로 유출하며 일부 경우에는 피해자 시스템에 MEGA 클라이언트를 직접 설치 YOPmail을 통해 생성된 일회용 이메일 주소(e.g., "zubinnecrouzo-6860@yopmail.com")를 이용해 MEGA에 최소 8개의 계정을 만들어 피해자 데이터를 저장 랜섬웨어를 리버스 엔지니어링한 결과, 사우디아라비아 내 조직을 표적으로 삼았던 DragonForce라는 랜섬웨어와 소스 코드 및 랜섬 노트에서 유사성이 발견됨 (DragonForce는 Visual C++로 작성, BlackLock은 Go 언어 사용) BlackLock의 주요 운영자 중 하나인 “$$$”는 2025년 3월 11일에 Mamona라는 단명한 랜섬웨어 프로젝트를 시작함 흥미로운 반전으로, BlackLock의 DLS는 3월 20일 DragonForce에 의해 훼손(deface)되었으며 구성 파일과 내부 대화 내용이 랜딩 페이지에 유출되었다."   보안 회사는 "BlackLock 랜섬웨어 그룹이 DragonForce 랜섬웨어와 협력하기 시작했는지 아니면 조용히 새로운 소유자에게 이관되었는지는 불분명하다."고 말했다.   "새 운영자들이 프로젝트와 그들의 제휴 기반을 인수했을 가능성이 높으며 이는 랜섬웨어 시장의 통합과 이전 운영자들이 이미 손상되었을 수 있다는 판단에서 비롯된 것일 수 있다."   "주요 행위자 ‘$$$’는 BlackLock 및 Mamona 랜섬웨어 관련 사건 이후 어떠한 놀람도 표현하지 않았다. 해당 행위자는 자신의 작전이 이미 손상되었을 수 있다는 점을 충분히 인지하고 있었고 조용히 ‘이전’ 프로젝트에서 철수하는 것이 가장 합리적인 선택이었을 가능성이 있다."       출처 https://thehackernews.com/2025/03/blacklock-ransomware-exposed-after.html

    사이버 보안 연구원들은 주로 스페인과 튀르키예 사용자를 표적으로 하는 새로운 안드로이드 뱅킹 악성코드 ‘Crocodilus’를 발견했다.   보안 회사는 "Crocodilus는 단순한 클론이 아니라 원격 제어, 블랙 스크린 오버레이, 접근성 로깅을 통한 고급 데이터 수집 등 현대적인 기법을 갖춘 완전한 위협으로 처음부터 등장했습니다."라고 말했다.   다른 뱅킹 트로이목마와 마찬가지로 이 악성코드는 장치 탈취(Device Takeover, DTO)를 용이하게 하고 궁극적으로 사기성 거래를 수행하도록 설계되었다.    소스 코드와 디버그 메시지에 대한 분석 결과 악성코드 제작자가 터키어를 사용하는 것으로 나타났다.   네덜란드 모바일 보안 회사가 분석한 Crocodilus 아티팩트는 Google Chrome으로 위장되어 있으며(패키지 이름: "quizzical.washbowl.calamity") Android 13 이상의 제한을 우회할 수 있는 드로퍼 역할을 한다.   설치 및 실행되면 해당 앱은 Android 접근성 서비스에 대한 권한을 요청하며 이후 원격 서버와 연결을 설정해 타깃이 될 금융 애플리케이션 목록 및 자격 증명을 탈취하기 위한 HTML 오버레이 등의 추가 지침을 수신한다.   Crocodilus는 암호화폐 지갑도 대상으로 하며 로그인 정보를 가로채는 가짜 로그인 페이지 대신 피해자에게 12시간 내에 시드 구문을 백업하지 않으면 지갑에 접근할 수 없다는 경고 메시지를 보여주는 오버레이를 통해 공격을 수행한다.       [그림 1. Crocodilus의 가짜 로그인 오버레이]     이러한 사회공학 기법은 공격자들이 피해자가 시드 구문을 열람하도록 유도하기 위한 속임수에 불과하며 접근성 서비스를 악용해 이를 수집하고 지갑에 대한 완전한 제어권을 확보하여 자산을 탈취할 수 있다.   보안 회사는 "Crocodilus는 지속적으로 실행되며 앱 실행을 모니터링하고 오버레이를 표시해 자격 증명을 가로챈다. 악성코드는 모든 접근성 이벤트를 감시하고 화면에 표시되는 모든 요소를 캡처한다."라고 말했다.    이 기능을 통해 악성코드는 피해자가 화면에서 수행하는 모든 활동을 기록할 수 있으며 Google Authenticator 앱의 화면 내용을 캡처하는 것도 가능하다. 또한 Crocodilus는 블랙 스크린 오버레이를 표시하고 소리를 음소거함으로써 장치에서의 악성 행위를 숨겨 피해자가 인지하지 못하도록 한다.   악성코드가 지원하는 주요 기능은 특정 애플리케이션 실행, 장치에서 스스로 제거, 푸시 알림 게시, 모든/선택된 연락처에 SMS 메시지 전송, 연락처 목록 수집, 설치된 애플리케이션 목록 조회, SMS 메시지 수신, 디바이스 관리자 권한 요청, 블랙 오버레이 활성화, C2 서버 설정 업데이트, 사운드 켜기/끄기, 키로깅 활성화/비활성화, 기본 SMS 관리자 역할 설정 이다.    보안 회사는 "Crocodilus 모바일 뱅킹 트로이목마의 등장은 현대 악성코드가 지닌 정교함과 위협 수준이 크게 고조되었음을 의미한다."라고 전했다.   "고급 장치 탈취 기능, 원격 제어 기능, 초기 버전부터 블랙 오버레이 공격의 활용 등은 Crocodilus가 신종 위협에서는 보기 드문 높은 성숙도를 지니고 있음을 보여준다."   이러한 개발은 Forcepoint가 멕시코, 아르헨티나, 스페인의 Windows 사용자를 대상으로 난독화된 Visual Basic 스크립트를 통해 Grandoreiro 뱅킹 트로이목마를 유포하는 세금 관련 피싱 캠페인에 대한 세부 정보를 공개한 가운데 이루어졌다.       출처 https://thehackernews.com/2025/03/new-android-trojan-crocodilus-abuses.html

    사이버 보안 연구자들이 약 114개 브랜드를 사칭하는 가짜 로그인 페이지를 제공하기 위해 도메인 네임 시스템(DNS)의 메일 교환(MX) 레코드를 활용하는 새로운 피싱-서비스형(PhaaS) 플랫폼에 대해 밝혀냈다.   보안 회사는 이 PhaaS, 피싱 키트 및 관련 활동을 ‘Morphing Meerkat’이라는 이름으로 추적하고 있다.   보안 회사는 보고서에서 "이 캠페인들의 배후 위협 행위자는 종종 광고 기술(adtech) 인프라에서의 오픈 리디렉트를 악용하고 피싱 배포를 위해 도메인을 탈취하며 텔레그램을 포함한 여러 메커니즘을 통해 탈취한 자격 증명을 유포한다."고 밝혔다.   이 PhaaS 툴킷을 활용한 캠페인 중 하나는 2024년 7월 Forcepoint에 의해 문서화되었으며 피싱 이메일에는 공유 문서를 가장한 링크가 포함되어 있었다.   이 링크를 클릭하면 수신자가 Cloudflare R2에 호스팅된 가짜 로그인 페이지로 유도되어 자격 증명을 수집하고 텔레그램으로 탈취하는 것이 목적이다.   Morphing Meerkat은 수천 개의 스팸 이메일을 발송한 것으로 추정되며 피싱 메시지는 손상된 워드프레스 웹사이트와 Google이 소유한 DoubleClick과 같은 광고 플랫폼의 오픈 리디렉트 취약점을 사용하여 보안 필터를 우회한다.       [그림 1. DNS 기반 피싱 흐름도]     또한 피싱 콘텐츠 텍스트를 영어, 한국어, 스페인어, 러시아어, 독일어, 중국어, 일본어를 포함해 12개 이상의 언어로 동적으로 번역할 수 있어 전 세계 사용자를 대상으로 한다.   난독화 및 코드 팽창을 통해 코드 가독성을 떨어뜨리는 것 외에도 피싱 랜딩 페이지는 마우스 우클릭이나 Ctrl + S(웹 페이지를 HTML로 저장), Ctrl + U(웹 페이지 소스 보기)와 같은 키보드 단축키 조합의 사용을 금지하는 분석 방지 기능을 포함하고 있다.   하지만 이 위협 행위자를 진정으로 두드러지게 만드는 점은 Cloudflare나 Google로부터 얻은 DNS MX 레코드를 사용해 피해자의 이메일 서비스 제공자(예: Gmail, Microsoft Outlook, Yahoo!)를 식별하고 이에 따라 동적으로 가짜 로그인 페이지를 제공하는 것이다.    피싱 키트가 MX 레코드를 인식하지 못할 경우 기본적으로 Roundcube 로그인 페이지로 전환된다.   보안 회사는 "이 공격 방식은 피해자의 이메일 서비스 제공자와 강하게 관련된 웹 콘텐츠를 표시함으로써 공격자들이 피해자를 대상으로 한 표적 공격을 수행할 수 있게 해주는 이점이 있다."고 밝혔다.   "피싱 전반의 경험이 자연스럽게 느껴지는 이유는 랜딩 페이지의 디자인이 스팸 이메일의 메시지와 일관되기 때문이다. 이 기술은 행위자가 피해자를 속여 피싱 웹 폼에 이메일 자격 증명을 입력하게 만드는 데 도움을 준다."       출처 https://thehackernews.com/2025/03/new-morphing-meerkat-phishing-kit.html