공인 인증 솔루션(MagicLine4NX) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 21일 취약 소프트웨어 및 개요 MagicLine4NX는 국내 드림시큐리티사에서 제작한 Non-ActiveX 공동인증서 프로그램이다. 사용자는 MagicLine4NX 프로그램을 이용하여 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다. 이 프로그램은 시작 프로그램에 등록되어 있으며, 프로세스가 종료되더라도 특정 서비스(MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 MagicLine4NX에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 MagicLine4NX 1.0.0.1~1.0.0.26 버전 취약점 악용…
신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포 Posted By KDH , 2023년 3월 21일 신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는 대부분 RecordBreaker(Raccoon V2) 악성코드가 사용되나, LummaC2 Stealer가 종종 모습을 보이고 있다. 3월 3일 최초 발견되었으며, 3월 12일, 3월 20일에도 유포된 이력이 확인되어 약 일주일 간격으로 모습을 보이고 있다. …
EDR을 활용한 CHM 악성코드 추적 Posted By muhan , 2023년 3월 21일 AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…
ASEC 주간 악성코드 통계 (20230313 ~ 20230319) Posted By ASEC , 2023년 3월 21일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 3월 13일 월요일부터 3월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 백도어가 34.5%, 이어서 다운로더 18.7%, 랜섬웨어 1.7%, 뱅킹 0.9%, 코인마이너 0.4%로 집계되었다. Top 1 – Redline RedLine 악성코드는 23.4%로 1위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을 받아…
‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황 Posted By Soojin Choi , 2023년 3월 20일 3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 안랩은 합동 보안 권고문에 공개된 침해지표(IoC) 파일을 다음과 같이 진단한다. 침해지표 MD5 진단명 엔진버전 012d5ffe697e33d81b9e7447f4aa338b 설정 파일로서 진단대상 아님 – 51527624e7921a8157f820eb0ca78e29 Backdoor/JS.Agent.SC182439 2022.11.02.03 582a033da897c967faade386ac30f604 Backdoor/JS.Agent.SC182438 2022.11.02.03 04bb7e1a0b4f830ed7d1377a394bc717 Android-Trojan/Kimsuky 2022.10.27.00 89f97e1d68e274b03bc40f6e06e2ba9a Android-Trojan/FastSpy 2022.10.28.05…