매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection)
매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의
CHM 악성코드 유포 변화 탐지
AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 실행방식이 매주 변화하고 있다. 안랩 EDR 제품에서 CHM 악성코드의 변화된 실행이 어떻게 기록되는지 소개한다. [그림 1]은 금융 기업 및 보험사를 사칭한 CHM 악성코드의 실행 방식을
코인 및 투자 관련 내용으로 위장한 악성코드 유포 중
AhnLab Security Emergency response Center(ASEC)은 최근 코인 거래소 및 투자 관련 내용으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 악성코드는 실행 파일 및 워드 문서 형식으로 유포되고 있으며, 악성코드에서 사용하는 User-Agent 명으로 보아 Kimsuky 그룹에서 제작한 것으로 추정된다. 확인된 파일명은 다음과 같다. 날짜 파일명 07.17 20230717_030190045911.pdf .exe 07.28 0728-위**월렛 자금 자동
국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지
AhnLab Security Emergency response Center(ASEC)은 국내 개발 업체의 설치 파일에서 생성되는 악성코드에 대해 소개했었다. 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 설치 파일과 함께 악성코드가 유포될 경우 사용자는 악성코드가 같이 실행된 것을 인지하기 어려우며, 정상 프로그램에 인젝션되어 Fileless로 동작하는 특성으로 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 어렵다.
국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2
AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석” [2] 포스팅을 통해 국내 VPN 업체의 설치 파일에서 SparkRAT 악성코드가 유포된 사례를 공개한 바 있다. ASEC에서는 최근 유사한 악성코드들이 국내 VPN 업체들과 마케팅 프로그램 판매 업체의
리눅스 시스템을 노리는 Reptile 악성코드
Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을
CHM 파일로 유포되는 정보유출 악성코드
AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와
국내 금융 기업 및 보험사를 사칭한 CHM 악성코드
AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다. 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft) – ASEC BLOG ASEC(AhnLab Security Emergency response Center)
윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석
Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다. 1. 개요 Rekoobe은 리눅스
