개인을 도청하는 RedEyes 그룹 (APT37)
1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및
국내 금융 보안 솔루션의 취약점을 이용하는 Lazarus 공격 그룹
Lazarus 공격 그룹은 이전 ASEC 블로그에서도 소개했던 바와 같이 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 활용하고 있다. INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18) BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24) ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던
‘한미 합동 사이버 보안 권고’ 관련, 안랩 유사 대응 사례
6월 2일 오늘 대한민국 국가정보원(NIS)·경찰청(NPA)·외교부(MOFA)와 미합중국 연방수사국(FBI)·국무부(DoS)·국가안보국(NSA)은 북한 킴수키 조직의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개하였다. 전세계의 연구소·싱크탱크·학술기관·언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위함이라고 언급하였으며 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인들을 사칭하여 이메일을 통한 스피어피싱 공격을 수행하는 것으로
한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes)
AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection
취약한 윈도우 IIS 웹 서버를 노리는 Lazarus 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD)
Kimsuky 그룹의 대북 종사자 대상 피싱 공격
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다. ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버[1]/카카오[2]의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른
중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. 링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft) – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격
OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드
AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다. 원노트(OneNote)로 유포 중인 Qakbot 악성코드 – ASEC BLOG 안랩 ASEC은 지난 1월 마이크로소프트(MS)
