Electron으로 제작되어 유포되는 인포스틸러 Posted By ryushsh , 2024년 4월 18일 AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 배포되는데, 공격자는 이를 악성코드에 적용한 것이다. [1] 사례 #1 악성코드를 실행하면 아래와 같은 폴더 구조의 Electron 애플리케이션이 설치 및 실행된다. Electron은 node.js로 OS와 상호작용하기 때문에 실제 악성 행위가 정의된 곳은 node.js 스크립트이며, 해당 스크립트는 .asar 파일에 패키징되어 있다.(주로 app\resources 경로에…
국내 포털 로그인 페이지로 위장한 피싱 사례 Posted By suuzzane , 2024년 4월 16일 AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 포털 사이트의 로그인 화면과 동일한 피싱 파일의 유포를 확인하였다. 과거부터 다수의 국내 포털 사이트/운송, 물류업 브랜드/웹메일 로그인 페이지를 위장한 사례는 매우 빈번하게 확인되어왔다. * 본문에서 비교자료로 사용한 좌/우 그림은, (좌측) 피싱페이지 (우측) 정상페이지 를 나타낸다. 위의 [그림 1]은 네이버 로그인 페이지를 위장한 피싱 페이지와 정상 페이지를, [그림 2]는 ‘doc003.shtml’ 의 파일명으로 유포된 피싱 HTML 파일과 정상 네이트메일 로그인 페이지를 나란히 캡쳐한 것이다. 언뜻 봐서는 정상/피싱을 구별할 수가 없을 정도로 동일한데, 이는 공격자가 정상…
리눅스 시스템 공격에 사용되는 Pupy RAT 분석 Posted By Sanseo , 2024년 4월 11일 Pupy는 RAT 악성코드로서 크로스 플랫폼을 지원하는 것이 특징이다. 깃허브에 공개된 오픈 소스이다 보니 APT 그룹을 포함하여 다양한 공격자들에 의해 지속적으로 사용되고 있다. 예를 들어 과거 이란과 관련 있는 것으로 알려진 APT35 그룹이 사용한 것으로 알려져 있으며 [1] 온라인 도박 사이트들을 대상으로 한 Operation Earth Berberoka에서도 [2] 사용된 바 있다. 최근에는 Pupy RAT을 업데이트한 Decoy Dog라는 악성코드가 발견되었는데 이는 러시아와 동유럽에 위치한 기업들의 네트워크를 대상으로 한 공격에 사용되었다. [3] 여기에서는 Pupy RAT에 대한 기본적인 설명과 함께 분석 과정에서 확인된 공격 사례들을…
“니가 왜 거기서 나와” Notepad++ plugin을 변조한 package 악성코드 (WikiLoader) Posted By ch.lim , 2024년 4월 4일 AhnLab SEcurity intelligence Center(ASEC)은 최근 Notepad++의 기본 plugin인 “mimeTools.dll”가 변조되어 유포된 정황을 확인했다. 해당 악성 mimeTools.dll 파일은 특정 버전의 Notepad++ package 설치 파일에 포함되어 정상적인 package 파일인 것처럼 위장하였다. mimeTools는 아래 이미지와 같이 Base64등의 인코딩 기능을 수행하는 모듈이며, 사용자가 별도로 추가하지 않아도 기본적으로 포함되어 있다. mimeTools.dll은 notepad++의 기본plugin인 만큼, notepad++을 실행시키면 자동으로 로드된다. 공격자는 이 점을 악용하였고 일종의 DLL Hijacking 기법을 사용한 것으로 확인된다. 즉, 사용자는 단지 notepad++.exe를 실행시켰음에도 불구하고 mimeTools.dll이 자동으로 로드되어 악성코드가 동작한다. 공격자는 mimeTools.dll에 암호화된 악성 Shell…
Redis 서버를 통해 설치되는 메타스플로잇 미터프리터 Posted By Sanseo , 2024년 4월 3일 AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 Redis 서비스를 통해 메타스플로잇의 미터프리터 백도어 악성코드가 설치 중인 것을 확인하였다. Redis는 Remote Dictionary Server의 약자로서 오픈 소스 In-memory 데이터 구조 저장소이자 데이터베이스이다. 공격자는 부적절한 설정을 악용하였거나 취약점 공격을 통해 명령을 실행한 것으로 추정된다. Redis는 주로 캐싱, 세션 관리, 메시지 브로커, 대기열 등 다양한 용도로 사용되며 전 세계적으로 다수의 시스템들이 Redis를 서비스하고 있다. 많은 시스템들에서 Redis를 사용하다 보니 공격자들의 주요 공격 대상이 되고 있다. 취약한 Redis 서비스를 공격하여 설치되는 악성코드들로는 Kinsing [1], P2PInfect [2],…
