Kimsuky 그룹, ADS를 활용하여 악성코드 은폐
AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user
ASEC 주간 피싱 이메일 위협 트렌드 (20230312 ~ 20230318)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 03월 12일부터 03월 18일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
Microsoft Office Outlook 취약점(CVE-2023-23397) 발현 및 수동 조치 가이드
AhnLab Security Emergency response Center(ASEC)은 최근 Microsoft Office Outlook 취약점 주의를 알린 바 있다. Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397) – ASEC BLOG 개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인
Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub)
AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을
공인 인증 솔루션(MagicLine4NX) 취약점 주의 및 업데이트 권고
취약 소프트웨어 및 개요 MagicLine4NX는 국내 드림시큐리티사에서 제작한 Non-ActiveX 공동인증서 프로그램이다. 사용자는 MagicLine4NX 프로그램을 이용하여 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다. 이 프로그램은 시작 프로그램에 등록되어 있으며, 프로세스가 종료되더라도 특정 서비스(MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가
신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포
신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. 변형된 CryptBot 정보 탈취 악성코드 유포 중 신종 정보탈취 악성코드, 크랙 위장 유포 중 악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포
EDR을 활용한 CHM 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께
‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황
3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 제목: 킴수키
리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot
사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다. 원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고
