• 위협 인텔리전스
    • 악성코드
    • 다크웹
    • 취약점
    • 피싱/스캠
    • CERT
    • 스미싱
    • EndPoint
    • 모바일
    • Networks
    • APT
    • 트렌드
  • 데일리 위협
  • 보안 권고문
  • RSS
  • Feedly
  • 언어
    • 한국어
    • English
    • 日本語
한국어
English
日本語
RSS
Feedly
트렌드

2026년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서

  • 7월 09 2026
2026년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서

내용


AhnLab SEcurity intelligence Center(ASEC)은 2026년 2분기 윈도우에 설치된 MS-SQL 서버와 MySQL 서버를 대상으로 한 공격 로그를 분석했다. 이 보고서는 피해 현황과 공격 현황, 그리고 공격에 사용된 악성코드와 도구의 분류를 정리한다.

목적 및 범위


대상은 MS-SQL 서버와 MySQL 서버이다. 공격은 주로 보안 패치가 되지 않은 환경, 부적절한 설정, 부적절한 계정 관리 환경을 노린다. 보고서는 공격에 사용된 악성코드를 Trojan, HackTool, Backdoor, CoinMiner, Downloader 등으로 나누어 설명한다.

주요 통계


2026년 2분기에는 SoftEther VPN을 설치하는 국내 웹 서버 대상 공격 사례가 확인됐다. 공격자는 웹 서비스와 MS-SQL 서버를 함께 활용해 Discovery 명령을 실행하고, certutil과 curl, powershell을 이용해 SoftEther VPN 관련 파일을 내려받은 뒤, 최종적으로 MS-SQL 서버에 CLR SqlShell을 설치했다. 과거 2024년 사례와 유사하게 UseLogonCredential 레지스트리 키를 설정해 WDigest 평문 암호 저장 기능을 활성화한 정황도 확인됐다. 해당 SqlShell은 명령 실행, 페이로드 다운로드, BadPotato, EfsPotato를 이용한 권한 상승, 메모리 덤프, 사용자 계정 추가, 쉘코드 실행 기능을 지원한다.

결론


공격자는 취약하거나 관리가 부실한 데이터베이스 서버에 침투한 뒤 추가 악성코드 설치, 권한 상승, 원격 제어, 자원 채굴, 측면 이동을 시도했다. 보고서는 계정 비밀번호 관리 강화, 최신 패치 적용, 외부 공개 서버에 대한 접근 통제를 통해 이러한 공격을 줄여야 한다고 정리한다.

MD5

329f6d74299141fe06a5e222efcb06f8
URL

http[:]//139[.]180[.]210[.]71/download/m2[.]bat
http[:]//139[.]180[.]210[.]71/download/us320250823[.]cab
http[:]//64[.]176[.]55[.]16/download//vpn_server[.]config
http[:]//64[.]176[.]55[.]16/download/hamcore[.]se2
http[:]//64[.]176[.]55[.]16/download/menu[.]bat

Tags:

AnyDesk backdoor BCP BruteForceAttack CoinMiner DictionaryAttack DictionaryAttackCLRShell Downloader Gh0stRAT HackTool 통계 JuicyPotato LoveMiner MS-SQL MyKings mysql Netcat proxy Proxyware Ransomware Shadowforce SoftEther SoftEtherVPN Trojan
Previous Post

2026년 2분기 취약점 동향보고서

Next Post

2026년 2분기 윈도우 웹 서버 대상 악성코드 통계 보고서