이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer - ASEC BLOG 관련 IOC 4개 발견
LockBit 랜섬웨어는 올해 2월 ASEC 블로그를 통해 공유된 바와 같이 이력서를 사칭하여 유포하는 방식으로 유포되고 있으며, 최근에는 정보 탈취형 악성코드를 포함하여 유포 중인 정황이 확인됐다. LockBit 3.0 버전은 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화하고, Vidar 인포스틸러는 텔레그램 웹 사이트를 통해 C2 통신 이전에 접속한다. 이후, 실제 C2 서버에 접속하여 악성 행위에 필요한 DLL 파일을 다운로드하고, 탈취한 정보를 C2 서버에 전달한다.
LockBit 랜섬웨어는 올해 2월 ASEC 블로그를 통해 공유된 바와 같이 이력서를 사칭하여 유포되고 있으며, 최근에는 정보 탈취형 악성코드를 포함하여 유포되고 있습니다. LockBit 3.0 버전은 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화하고, Vidar 인포스틸러는 텔레그램 웹 사이트를 통해 C2 통신 이전에 접속하며, 실제 C2 서버에 접속하여 악성 행위에 필요한 DLL 파일을 다운로드하고 탈취한 정보를 C2 서버에 전달합니다.
Ahnlab
Lockbit ransomware and Vidar Infostealer -Asec Blog
Lockbit ransomware has been distributed by impersonating a resume as shared through the ASEC blog in February of this year, and recently, the situation in which it is being distributed, including information deodorant malware, has been confirmed.The LOCKBIT 3.0 version encrypts files except PE files in the user PC environment, and VIDAR, a VIDAR, connects to C2 communication through the Telegram website.Then, connect to the actual C2 server to download the DLL file necessary for malicious behavior, and deliver the deodorized information to the C2 server.
Lockbit ransomware has been distributed by impersonating a resume as shared through the ASEC blog in February of this year, and has recently been distributed with information deodorant malware.The LOCKBIT 3.0 version encrypts files except PE files in the user PC environment, and VIDAR, a VIDAR, accesses the C2 communication through the Telegram website, and connects to the actual C2 server to download the DLL file necessary for malicious behavior.Deliver the deodorized information to the C2 server.
https://asec.ahnlab.com/ko/58252/