링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다. RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해
Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용
Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드
3CX DesktopApp 공급망 공격, 국내에서도 확인
2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다. AhnLab Security Emergency response Center(ASEC)에서는 다음 블로그를 통해 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개한 바 있다. [2] 본 글에서는 공격에 사용된
Bitter 그룹, 중국 기관을 대상으로 CHM 악성코드 유포
Bitter (T-APT-17) 그룹은 주로 남아시아 정부 기관을 대상으로 하는 공격 그룹으로, 악성코드 유포에 Word 나 Excel 등 Office 문서를 이용해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 최근 Bitter 그룹에서 중국의 특정 기관을 대상으로 CHM 악성코드를 유포한 정황을 다수 확인하였다. CHM 파일은 올해 초부터 다양한 공격 그룹에서 APT 공격에 이용하고 있으며
Kimsuky 그룹, ADS를 활용하여 악성코드 은폐
AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user
Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub)
AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을
EDR을 활용한 CHM 악성코드 추적
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께
‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황
3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 제목: 킴수키
사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다. 원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고
대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
ASEC(AhnLab Security Emergency response Center)은 최근 Kimsuky 그룹에서 제작한 것으로 추정되는 CHM 악성코드를 확인하였다. 해당 악성코드 유형은 아래 ASEC 블로그 및 Kimsuky 그룹 유포 악성코드 분석 보고서에서 소개한 악성코드와 동일하며 사용자 정보 유출을 목적으로 한다. Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 –
