RemcosRAT, 스테가노그래피 기법을 이용하여 유포중 Posted By Vanish , 2024년 4월 25일 AhnLab SEcurity intelligence Center(ASEC)은 최근 RemcosRAT가 스테가노그래피 기법을 이용하여 유포 중인 것을 확인했다. 시작은 Template Injection기법을 사용한 Word문서를 시작으로 수식 편집기(EQNEDT32.EXE)취약점을 사용하는 RTF를 다운로드하여 실행한다. RTF는 C2에서 “.jpg”확장자를 가진 VBScript를 다운로드하고 텍스트를 무료로 업로드해 주는 “Pastebin”과 유사한 서비스인 “paste.ee”에서 추가 VBScript를 다운로드한다. 다운로드된 VBScript는 여러 특수문자로 난독화되어 있으며 Replace를 통해 최종적으로 PowerShell Script를 실행한다. 해당 PowerShell Script는 외부에 업로드된 이미지를 다운로드하는데, 해당 이미지는 “JPG” 파일의 끝(Footer)을 의미하는 코드 “FF D9” 뒤에 BASE64 인코딩 데이터가…
국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례 Posted By muhan , 2024년 4월 24일 AhnLab SEcurity intelligence Center(ASEC)은 국내 웹 서버 대상으로 불법 도박 광고 사이트 연결을 유도하는 악성코드 유포 정황을 확인하였다. 공격자는 부적절하게 관리되고 있는 국내의 윈도우 IIS(Internet Information Services) 웹 서버 최초 침투 이후 미터프리터 백도어, 포트 포워딩 도구, IIS 모듈 악성코드 도구 설치 및 ProcDump를 이용한 서버의 자격 증명 정보를 탈취하였다. IIS 모듈이란 인증, HTTP 응답, 로깅 등 웹 서버의 확장 기능을 지원하는 모듈이다. ISS C++ API 혹은 ASP.NET 2.0 API를 사용하여 모듈 개발이 가능하다. 이번에 확인된 IIS 모듈 악성코드는 모듈이…
온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기 Posted By ASEC , 2024년 4월 23일 스캠 기술의 발달로 이제는 화면만으로 진위를 판별하는 것이 매우 어려운 일이 되었다. 예전에는 스캐머들이 제작한 사칭 웹사이트나 이메일에서 로고 크기, 레이아웃, 문구, 도메인 등 원본과 다른 부분들이 종종 발견되어 주의 깊게 관찰한다면 가짜임을 식별할 수 있는 경우가 있었다. 그러나 최근의 스캐머들은 실제 웹사이트나 이메일과 거의 동일한 수준의 정교한 디자인과 콘텐츠를 제작해 낸다. 육안으로는 진위를 가리는 것이 거의 불가능할 정도로 웹사이트 복제 기술은 고도화되었다. 이에 따라 피해자들은 이전보다 쉽게 민감한 개인정보와 금전적 손실을 볼 수 있으며, 악성코드 감염 가능성도 증가했다. 본 글에서는 실제…
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장) Posted By yeeun , 2024년 4월 23일 AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)’[1] 와 유사한 유형으로 확인된다. 해당 유형은 LNK 파일 내부에 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있는 것이 특징이다. 악성코드의 간략한 동작 과정은…
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어) Posted By Sanseo , 2024년 4월 22일 AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky 랜섬웨어를 유포했던 공격 사례와의 연관성을 정리한다. 이번 공격은 기존 사례들과 유사하게 부적절하게 관리되고 있는 MS-SQL 서버가 그 대상이 되었다. 공격자는 무차별 대입 공격 및 사전 공격으로 MS-SQL 서버를 공격한 것으로…
