Author: Talon @ S2WLAB

Haron ransomware was first discovered in July 2021. When infected with this ransomware, the extension of the encrypted file is changed to the victim’s name. They are using a ransom note and operating their own leak site similar to Avaddon ransomware. They have disclosed only one victim on the leak site so far.

Detailed analysis

A. Similarity of ransom notes

  • The main difference is that Haron suggests a specific ID and Password for victim to log in to the negotiation site.

B. Similarity of negotiation sites

B-1. Haron operates the negotiation site and leak site on the same domain


Kind but Bad Guy

With contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong, Sujin Lim| S2W LAB Talon

SoW (Story of the Week) publishes a report summarizing ransomware’s activity on the Darkweb. The report includes summary of victimized firms, Top 5 targeted countries and industrial sectors, status of dark web forum posts by ransomware operators, etc.

Executive Summary

  1. [Statistics] There are a total of 34 ransomware victims in one week, and the US still accounts for the largest share at 23.5%, but the overall distribution is even in Southeast Asia and South America
  2. [Darkweb] The operator of the Suncrypt ransomware guarantees…


Kind but Bad Guy

With contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong, Sujin Lim| S2W LAB Talon

SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.

요약

  1. [통계] 랜섬웨어 피해기업은 1주일간 총 34건이며, 피해 기업의 수는 여전히 미국이 23.5%로 가장 많은 부분을 차지하나 동남아, 남미 등 전반적으로 고 …

S2W LAB의 새로운 공간에 놀러가 보았습니다. 현재 있는 사무실이 반도 채워지지 않았던 때가 불과 1년 전이었는데 어느새 사람이 쑥쑥 늘어나서 사무실을 옮기지 않으면 안되는 시기가 되었습니다.

신규 사무실 역시 판교에 있고요. 공간 자체는 비교도 할 수 없을만큼 많이 넓어졌습니다. 아직 한참 공사 중이라서 최종 사무실의 모습은 잘 그려지지 않지만 다음주면 드디어 이사를 가게 됩니다.

벌써부터 두근두근 대네요!

새로운 사무실로 이사가 완료되면 또 한번 소식 전해드리도록 하겠습니다!


Author: JAEKI KIM @ Talon

Photo by Julia Kadel on Unsplash

Executive Summary

  • 2020년 12월, 특정 웹사이트가 워터링홀 공격에 악용된 사례가 발견되었으며, 업무 특성상 해당 사이트에 주기적으로 방문하는 사용자들을 포함하여 취약한 버전의 IE 브라우저로 해당 웹사이트에 방문한 사용자는 공격 대상이 되었음
  • 워터링홀 공격으로 다운로드 및 실행되는 악성코드 유형으로 Ruby 실행 파일 및 Ruby 스크립트, PE 파일이 포함된 Multi-Staging Shellcode (KEY : 0x78AEEA97)가 확인되었음
  • 최종 실행되는 악성코드는 과거 ROKRAT으로 알려진 악성코드의 발전된 버전
    - 공격 대상의 정보 탈취 및 탈취한 정보를 클라우드 서비스로 전송
  • 공격 …


Author : Sojun Ryu (hypen) @ Talon

Photo by Rajan Alwan on Unsplash

Executive Summary

  • 최근 I사의 C프로그램 설치 여부를 확인하는 악성코드 샘플이 탐지됨
    - 악성코드 제작 일시 : 2021–02–10 05:19:21 (UTC)
    - 단, 악성코드 제작 일시는 공격자에 의해 변경이 쉽게 가능함
  • 악성행위 수행 전 C프로그램 관련 파일 존재 여부를 확인한 뒤, 존재하지 않을 경우 추가 행위를 수행하지 않음
  • 최종 행위로는 추가 악성코드를 국내 유포지로부터 다운로드 받고 실행
    - 현재 추가 악성코드는 다운로드되지 않음


Author: Seunghoe Kim @ Talon

Photo by Michal Balog on Unsplash

Executive Summary

  • KPOT steals data from browsers, gaming services, FTP clients, VPN clients, messengers, and cryptocurrency wallets. This sample of KPOT seems to have some minor changes compared to the older version analyzed by Proofpoint in May 2019.
    - Decentralized blockchain DNS is used for resolving C2 domain with .bit or .lib TLDs. The encryption method is changed for C2 communication.
    - Stealer can be configured to run an arbitrary shell command. It will even run on CIS machines.

Detailed Analysis

Malware Information

  • Filename : klfile.exe
  • MD5 : 9dc97eaed4e61901afc327ce9f122262
  • SHA-1 : 41881d3463f4246d4d0146faf39703354bab83e9
  • SHA-256 : 4412624d06991fa64f684fcc6d66c787d040eaa12356885cf0a0919c732c82a3
  • File type : PE32 executable (GUI)…


Author: Talon @ S2WLAB

Photo by Markus Spiske on Unsplash

Executive Summary

  • 2021년 7월 2일, MSPs(Managed Service Providers) 사업이 주력인 Kaseya 회사의 공급망 공격을 통해 REvil 랜섬웨어가 유포되는 사고가 발생하였음
  • Kaseya Limited는 네트워크, 시스템 및 정보 기술 인프라 관리를 위한 소프트웨어를 개발하는 미국 소프트웨어 회사로 36,000명 이상의 고객을 보유
  • Kaseya 측의 공지에 따르면, 전 세계의 On Premise 방식의 40개 미만의 기업이 감염된 것으로 추정됨. 하지만 감염된 기업들이 대부분 MSP인 관계로 실제 피해를 본 기업은 더 많을 것으로 예상됨
  • 2021년 7월 5일 10시 50분 경(KST), REvil은 자신의 Leak 사이트를 통해서 $70,000,000의 비용을 지불할 경우 이번 공격에 영향 받은 모든 기업들의 데이터를 모두 복호화해주는 디크립터를 공개하겠다고 언급하였음


Author: Sojun Ryu (hypen) @ S2WLAB Talon

We are working on the English version. Coming soon!

Photo by Clint Patterson on Unsplash

Executive Summary

침투과정

  • 2019년 4월에 처음 등장한 REvil 랜섬웨어는 초기 오라클 웹로직 취약점 (CVE-2019–2725)을 이용하여 다양한 환경에 최초 침투를 시도
  • 이후 Pulse Secure VPN 취약점 (CVE-2019–11510), FortiOS VPN 취약점 (CVE-2018–13379) 및 RDP 취약점 등 제로데이 취약점이 아닌, 패치가 적용되기 전의 N-day 취약점을 통해 기업 환경에 침투를 시도하여 매우 많은 기업을 감염시킴
  • 최근에는 다크웹에서 이미 유명한 …


Author: hypen (Sojun Ryu) @ Talon

Monkey Thief

Executive Summary

  • Vidar Stealer is a malware specialized in stealing information mainly distributed as spam mail or crack version commercial software and keygen program. When installed, data such as infected device information, account, and history recorded in the browser is collected and leaked to the C&C server.
  • In particular, it is one of the Stealer logs widely traded in DDW, and logs of infected PCs worldwide are being sold.
  • Previously, Vidar Stealer communicated with the C&C server hard-coded inside the malware, but from February 3, 2021, the method was changed to dynamically read the C&C server…

S2W LAB

S2W LAB is a big data intelligence company specialized in the Dark Web and Crypto currencies.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store