공공기관을 사칭하여 유포 중인 악성코드 주의(LNK)
AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한
정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지
AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 포메리움 프로젝트 관련 문의 자료.txt.lnk 23년 iris 협약 전 변경 신청 관련
![[Kimsuky] Operation Covert Stalker](https://asec.ahnlab.com/wp-content/uploads/2023/08/08_target-attack_02.png)
[Kimsuky] Operation Covert Stalker
안랩은 2022년 04월 29일 금요일 퇴근 무렵 “북한 4.25 열병식 관련 내용의 악성 워드 문서 유포”라는 제목의 분석 정보를 ASEC블로그에 공개한 적이 있습니다. [+] 열병식 내용으로 위장한 악성코드 분석 정보: https://asec.ahnlab.com/ko/33878 본 보고서는 위 분석 정보에 설명된 주요 특징(C2, 웹쉘 등)과 유사한 패턴을 가진 Kimsuky 조직의 해킹 활동(C2 운영, 관리, 해킹
악성 OLE 개체가 삽입된 한글 문서 주의
AhnLab Security Emergency response Center(ASEC)은 국방, 언론 등 특정 분야의 관계자를 대상으로 하는 악성 OLE 개체가 삽입된 한글 문서(.hwp)를 확인하였다. 악성코드는 주로 메일에 삽입된 다운로드 URL 혹은 첨부 파일을 통해 유포되는 것으로 추정된다. 유포되는 문서의 파일명이 국방, 통일, 교육 및 방송 분야와 관련되어 있어 공격자는 해당 분야 관계자를 대상으로 악성코드를
RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
Lazarus 조직의 Operation Dream Magic
Lazarus 조직은 국가가 배후인 것으로 알려진 해킹 조직으로 금전적인 이득, 자료 탈취 등의 목적으로 전세계를 대상으로 꾸준히 해킹하고 있습니다. Lazarus 조직의 이니세이프 취약점을 악용한 워터링 홀을 간단하게 정리하면 언론사의 특정 기사에 악성 링크 삽입, 해당 기사를 클릭하는 기업, 기관이 해킹 대상, 국내 취약한 홈페이지를 C2 로 악용 그리고 제한된 범위의
Lazarus 위협 그룹의 Volgmer, Scout 악성코드 분석 보고서
개요1. Volgmer 백도어 분석…. 1.1. Volgmer 초기 버전…….. 1.1.1. Volgmer 드로퍼 분석…….. 1.1.2. Volgmer 백도어 분석…. 1.2. Volgmer 후기 버전…….. 1.2.1. Volgmer 백도어 분석2. Scout 다운로더 분석…. 2.1. 드로퍼 (Volgmer, Scout)…. 2.2. Scout 다운로더 분석…….. 2.2.1. Scout 다운로더 v1…….. 2.2.2. Scout 다운로더 v23. 결론 목차 국가 차원의 지원을 받는
국세청을 사칭한 악성 LNK 유포
AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다. 최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된
국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드
BlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서 BlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는 제작자가 중국어 사용자일 가능성을 보여준다. Figure 1. 깃허브에 공개되어 있는 BlueShell BlueShell이
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지
