윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를
문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)
ASEC(AhnLab Security Emergency response Center)은 배치 파일(*.bat) 형태의 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 사용자 환경에 설치된 자사 제품을 포함한 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파리미터 등을 보아 Kimsuky 그룹에서 유포한 것으로 추정된다. 악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로
크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도
다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky
AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고
한글 문서 파일을 위장한 악성코드(Kimsuky)
AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다. Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20 사례비 지급 내용으로 위장한
개인을 도청하는 RedEyes 그룹 (APT37)
1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및
국내 금융 보안 솔루션의 취약점을 이용하는 Lazarus 공격 그룹
Lazarus 공격 그룹은 이전 ASEC 블로그에서도 소개했던 바와 같이 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 활용하고 있다. INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18) BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24) ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던
‘한미 합동 사이버 보안 권고’ 관련, 안랩 유사 대응 사례
6월 2일 오늘 대한민국 국가정보원(NIS)·경찰청(NPA)·외교부(MOFA)와 미합중국 연방수사국(FBI)·국무부(DoS)·국가안보국(NSA)은 북한 킴수키 조직의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개하였다. 전세계의 연구소·싱크탱크·학술기관·언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위함이라고 언급하였으며 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인들을 사칭하여 이메일을 통한 스피어피싱 공격을 수행하는 것으로
한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes)
AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection
취약한 윈도우 IIS 웹 서버를 노리는 Lazarus 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD)
