급여명세서를 위장하여 유포되는 램코스 악성코드 (Remcos RAT) Posted By ohmintaek , 2023년 10월 26일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 급여명세서를 위장하여 유포되는 Remcos 원격 제어 악성코드의 유포 정황을 발견했다. 확인된 Remcos RAT 악성코드는 [그림 1]와 같이 ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포되었다. 첨부된 cab 압축파일 내부에는 [그림 2]과 같이 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 되어있다. Remcos RAT 악성코드는 [그림 3]과같이 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적인 원격…
RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹 Posted By Sanseo , 2023년 10월 16일 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2] Kimsuky 위협 그룹이 초기 침투 이후 설치하는 악성코드들로는 주로 감염 시스템을 제어하기 위한 백도어나 감염 시스템에 존재하는 민감한 정보들을…
스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla) Posted By ohmintaek , 2023년 9월 27일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인…
침해당한 시스템의 코인마이너 유포 과정(EDR 탐지) Posted By EASTSTON3 , 2023년 9월 20일 AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다. 그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를 실행하는 방법이 탐지된 내용을 확인할 수 있다. 직접적인 파일 다운로드가 아닌 스크립트만 문자열로 받아 실행된다. 실행된 파워쉘 스크립트는 base64로 인코딩된 데이터를 복호하여 TEMP 경로에 “nodejssetup-js.exe” 파일명으로 생성 및 실행한다….
저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 9월 8일 AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다. 파일명 저작권 침해 관련 영상 이미지.exe 자세한 영상.exe 불법 복제에 관한 자료-OO 엔터테인먼트.exe 涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지) 제품 오류…
