악성코드 정보 AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey) 개요초기 침투 방식…. 2.1. 스피어 피싱 공격…. 2.2. LNK 악성코드원격 제어 악성코드…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. 최신 공격 사례…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRAT감염 이후…. 4.1. 키로거…. 4.2. 인포스틸러…. 4.3. 기타 유형들결론 1. 개요 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을… 2023년 12월 1일2023년 12월 2일 악성코드 정보 WSF 스크립트로 유포되는 AsyncRAT ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. [다운로드 URL]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip 최초 다운로드 된 zip파일을 압축 해제하면 .wsf확장자를 가진… 2023년 12월 1일2023년 12월 1일 안랩 탐지 RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지 원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며… 2023년 11월 27일2023년 12월 1일 악성코드 정보 수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다. 파워쉘 스크립트에… 2023년 11월 21일2023년 11월 21일 악성코드 정보 개인정보 판매를 미끼로한 악성코드 유포 정황 확인 AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다. [그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’, ‘단타’, ‘중장기’ 등 투자 관련… 2023년 11월 20일2023년 11월 21일 더 많은 글 로드 로드 중… 문제가 발생했습니다. 페이지를 새로 고친 후 다시 시도하세요.
악성코드 정보 AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey) 개요초기 침투 방식…. 2.1. 스피어 피싱 공격…. 2.2. LNK 악성코드원격 제어 악성코드…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. 최신 공격 사례…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRAT감염 이후…. 4.1. 키로거…. 4.2. 인포스틸러…. 4.3. 기타 유형들결론 1. 개요 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을… 2023년 12월 1일2023년 12월 2일
악성코드 정보 WSF 스크립트로 유포되는 AsyncRAT ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. [다운로드 URL]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip 최초 다운로드 된 zip파일을 압축 해제하면 .wsf확장자를 가진… 2023년 12월 1일2023년 12월 1일
안랩 탐지 RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지 원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며… 2023년 11월 27일2023년 12월 1일
악성코드 정보 수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다. 파워쉘 스크립트에… 2023년 11월 21일2023년 11월 21일
악성코드 정보 개인정보 판매를 미끼로한 악성코드 유포 정황 확인 AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다. [그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’, ‘단타’, ‘중장기’ 등 투자 관련… 2023년 11월 20일2023년 11월 21일
