Telegram을 활용하여 사용자 정보를 유출하는 피싱 스크립트 파일 유포중
AhnLab Security Emergency response Center(ASEC)은 최근 이메일 첨부 파일을 통해 PDF 문서뷰어 화면으로 위장한 피싱 스크립트 파일이 다수 유포되고 있는 정황을 확인하였다. 확인된 일부 파일명은 아래와 같으며, 구매 주문서(PO, Purchase Order)/주문/영수증/발주서 등의 키워드를 활용하였다. New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-019.html ○○○ Pharma.pdf.html DH○_BILL_LADING_DOCUMENT_RECEIPT.html _○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) BL_148200078498.html En○○○ Purchase Order.html
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지
Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로
스팸메일을 통해 유포되는 파일리스 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 스팸메일을 통해 PE 파일(EXE)을 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법의 피싱 캠페인을 발견하였다. hta 확장자로 첨부된 악성코드는 최종적으로 AgentTesla, Remcos, LimeRAT 과 같은 악성코드들을 실행한다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 해당 악성코드를
Andariel 그룹의 새로운 공격 활동 분석
목차1. 과거 공격 사례…. 1.1. Innorix Agent 악용 사례…….. 1.1.1. NukeSped 변종 – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. 국내 기업 공격 사례…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped 변종2. 최근 공격 사례…. 2.1. Innorix Agent 악용 사례…….. 2.1.1. Goat RAT…. 2.2. 국내 기업 공격 사례……..
MS-SQL 서버 대상 Proxyjacking 공격 사례 분석
AhnLab Security Emergency response Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 하는 Proxyjacking 공격 사례를 확인하였다. 외부에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버들은 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 일반적으로 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 무차별 대입 공격이나 사전 공격을 통해
국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어
ASEC(AhnLab Security Emergency response Center)은 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업 대상 공격에 사용 중인 것을 확인하였다. 하쿠나 마타타는 상대적으로 최근에 제작된 랜섬웨어이다. 하쿠나 마타타 랜섬웨어와 관련된 정보들 중 최초로 확인되는 것은 2023년 7월 6일 트위터에서 언급된 내용이며, [1] 이후 2023년 7월 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지)
AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일
매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection)
매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의
CHM 악성코드 유포 변화 탐지
AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 실행방식이 매주 변화하고 있다. 안랩 EDR 제품에서 CHM 악성코드의 변화된 실행이 어떻게 기록되는지 소개한다. [그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을
