국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례 Posted By muhan , 2024년 4월 24일 AhnLab SEcurity intelligence Center(ASEC)은 국내 웹 서버 대상으로 불법 도박 광고 사이트 연결을 유도하는 악성코드 유포 정황을 확인하였다. 공격자는 부적절하게 관리되고 있는 국내의 윈도우 IIS(Internet Information Services) 웹 서버 최초 침투 이후 미터프리터 백도어, 포트 포워딩 도구, IIS 모듈 악성코드 도구 설치 및 ProcDump를 이용한 서버의 자격 증명 정보를 탈취하였다. IIS 모듈이란 인증, HTTP 응답, 로깅 등 웹 서버의 확장 기능을 지원하는 모듈이다. ISS C++ API 혹은 ASP.NET 2.0 API를 사용하여 모듈 개발이 가능하다. 이번에 확인된 IIS 모듈 악성코드는 모듈이…
온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기 Posted By ASEC , 2024년 4월 23일 스캠 기술의 발달로 이제는 화면만으로 진위를 판별하는 것이 매우 어려운 일이 되었다. 예전에는 스캐머들이 제작한 사칭 웹사이트나 이메일에서 로고 크기, 레이아웃, 문구, 도메인 등 원본과 다른 부분들이 종종 발견되어 주의 깊게 관찰한다면 가짜임을 식별할 수 있는 경우가 있었다. 그러나 최근의 스캐머들은 실제 웹사이트나 이메일과 거의 동일한 수준의 정교한 디자인과 콘텐츠를 제작해 낸다. 육안으로는 진위를 가리는 것이 거의 불가능할 정도로 웹사이트 복제 기술은 고도화되었다. 이에 따라 피해자들은 이전보다 쉽게 민감한 개인정보와 금전적 손실을 볼 수 있으며, 악성코드 감염 가능성도 증가했다. 본 글에서는 실제…
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장) Posted By yeeun , 2024년 4월 23일 AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)’[1] 와 유사한 유형으로 확인된다. 해당 유형은 LNK 파일 내부에 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있는 것이 특징이다. 악성코드의 간략한 동작 과정은…
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어) Posted By Sanseo , 2024년 4월 22일 AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky 랜섬웨어를 유포했던 공격 사례와의 연관성을 정리한다. 이번 공격은 기존 사례들과 유사하게 부적절하게 관리되고 있는 MS-SQL 서버가 그 대상이 되었다. 공격자는 무차별 대입 공격 및 사전 공격으로 MS-SQL 서버를 공격한 것으로…
Electron으로 제작되어 유포되는 인포스틸러 Posted By ryushsh , 2024년 4월 18일 AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 배포되는데, 공격자는 이를 악성코드에 적용한 것이다. [1] 사례 #1 악성코드를 실행하면 아래와 같은 폴더 구조의 Electron 애플리케이션이 설치 및 실행된다. Electron은 node.js로 OS와 상호작용하기 때문에 실제 악성 행위가 정의된 곳은 node.js 스크립트이며, 해당 스크립트는 .asar 파일에 패키징되어 있다.(주로 app\resources 경로에…
