RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지 Posted By Sanseo , 2023년 11월 27일 원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명…
수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky Posted By kwonxx , 2023년 11월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다. 파워쉘 스크립트에 의해 ‘수입신고서.PDF’ 파일명으로 정상 PDF가 저장되어 자동 실행되며, 파일 내부에는 공격 대상의 정보가 포함되어 있다. 정상 PDF를 생성 및 실행함으로써 사용자들에게 악성의 백도어 파일이 실행되고…
개인정보 판매를 미끼로한 악성코드 유포 정황 확인 Posted By EASTSTON3 , 2023년 11월 20일 AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다. [그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’, ‘단타’, ‘중장기’ 등 투자 관련 내용을 포함하고 있다. 공격자는 악성코드 유포지에 8500건이 넘는 다수의 개인정보를 파일로 갖고 있었다. 이름과 전화번호 외에도 개인의 투자금액과 신용 등을 기록한 파일도…
Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황 Posted By Sanseo , 2023년 11월 17일 AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업…
CobaltStrike를 이용한 아파치 웹 서버 대상 크립토재킹 공격 캠페인 Posted By Sanseo , 2023년 11월 14일 AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. 윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치 톰캣(Tomcat) 그리고 Nginx 등이 존재한다. 아파치 웹 서비스는 주로 리눅스 웹 서버에서 사용하는 편이지만 윈도우 운영체제도 함께 지원하기 때문에 윈도우 환경에서 서비스를 제공하는 경우도 소수 존재한다. ASEC에서는 최근 아파치 웹…