Kimsuky 그룹의 대북 종사자 대상 피싱 공격
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다. ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버[1]/카카오[2]의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른
MS-SQL 서버의 sqlps.exe 유틸리티 악용한 Remcos RAT 유포
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Remcos RAT가 설치되고 있는 것을 확인하였다. 이와 같은 사례는 2022년 2월 자사 블로그를 통해 공유한 이력이 있다. 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT 이번 사례는 당시 유포 방식과 다르게 공격자가 sqlps를 유포에 활용하고 있음을 확인 했다. sqlps 는
ASEC 주간 피싱 이메일 위협 트렌드 (20230430 ~ 20230506)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 30일부터 05월 06일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
일본 사용자들을 대상으로 유포 중인 인포스틸러
ASEC(AhnLab Security Emergency response Center)에서는 최근 일본 사용자들을 대상으로 성인 게임을 위장한 정보 탈취형 악성코드가 유포 중인 것을 확인하였다. 유포 경로는 확인되지 않지만 성인 게임이기 때문에 토렌트나 불법 공유 사이트를 통해 유포되고 있는 것으로 추정된다. 성인 게임을 위장하여 악성코드를 유포하는 방식은 국내에서도 자주 사용되는 방식이다. 공격자는 알려진 악성코드 대신 직접
BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중
AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다. LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장 동일 난독화 도구 사용 (닷넷 리액터) 작업스케줄러 및 레지스트리 등록 (악성코드 지속성) 랜섬노트 및
ASEC 주간 피싱 이메일 위협 트렌드 (20230423 ~ 20230429)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 23일부터 04월 29일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드
RecordBreaker Stealer는 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드로, 작년 처음 등장하여 일반 사용자를 대상으로 활발하게 유포 중이다. Raccoon Stealer V2 라고도 불리며 웹 사이트, YouTube 등 다양한 채널을 통해 유포되고 있다. 동일 방식으로 활발히 유포되던 CryptBot이 올해 2월 이후로 완전히 자취를 감추고 이따금 Vidar 악성코드가
국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT
AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수
