Kant's Times

“랜섬웨어, 공격 조직 내부 갈등으로 붕괴된다” - 데이터넷 “랜섬웨어, 공격 조직 내부 갈등으로 붕괴된다” - 데이터넷[데이터넷] 랜섬웨어 조직도 결국은 사람이 운영하는 것이다. 조직과 조직원의 오해와 배신으로 인한 폭로와 몰락이 이어진다.2월 11일 익스플로잇위스퍼즈(EW)라는 텔레그램 사용자가 블랙바스www.datanet.co.kr 주요 배경블랙바스타(Black Basta) 내부 분열로 조직 정보가 유출되고 일부 조직원은 캑터스(Cactus)로 이동익스플로잇위스퍼즈(ExploitWhispers, EW)가 텔레그램을 통해 블랙바스타의 내부 로그 20만여 건 공개공개된 정보에는 피싱 템플릿, 피해자 자격 증명, 암호화폐 지갑, 공격자 정보 등 포함내부 폭로의 원인과 결과블랙바스타가 러시아 은행을 공격한..

Researchers Link CACTUS Ransomware Tactics to Former Black Basta Affiliates 공격자 전환 정황Trend Micro는 CACTUS 랜섬웨어 운영자들이 Black Basta 조직과 동일한 BackConnect(BC) 모듈을 사용하는 것을 확인해당 모듈은 감염된 시스템에 대한 지속적 원격 제어 권한을 제공이는 과거 Black Basta의 초기 접근 방식에서 CACTUS로의 전환 가능성을 시사QBACKCONNECT 모듈의 기술적 특징QBACKCONNECT는 QakBot 로더와 코드 유사성이 있어 QakBot 기반 모듈로 추정악성 DLL 로더 REEDBED(winhttp.dll)를 Microsoft OneDrive 업데이트용 실행파일 OneDriveSta..

QakBot-Linked BC Malware Adds Enhanced Remote Access and Data Gathering Features 개요QakBot(aka QBot, Pinkslipbot)과 연관된 새로운 BackConnect(BC) 악성코드 발견원격 접근(Remote Access) 및 데이터 수집 기능을 강화하여 지속적인 위협 유지IcedID 및 DarkVNC와 함께 활용되며 ZLoader 악성코드와 동일한 인프라에서 배포QakBot의 주요 기능이었던 BC 모듈이 독립적인 백도어 형태로 발전BC 악성코드 특징BC 모듈(BackConnect)의 주요 기능시스템 정보를 수집하여 공격자가 후속 공격을 수행할 수 있도록 지원VNC 컴포넌트를 통해 원격 접속 가능감염된 호스트를 프록시로 활용하여 익..