아마존 서비스를 악용하는 MSC파일 유포중
최근 ASEC(AhnLab SEcurity Intelligence Center)에서는 아마존 서비스를 악용하는 악성 MSC 파일이 유포 중인 것을 확인했다. MSC 확장자는 XML 파일 포맷 구조를 가지고 있는 것이 특징이며 MMC(Microsoft Management Console)에 의해 실행되는 방식이다. 지난 6월 22일 Elastic Security Labs에 의해 공개된 이후부터 유포량이 증가했으며 이번에 확보한 2개의 MSC 파일은 MSC 파일 내부
2024년 7월 APT 그룹 동향 보고서
목적 및 범위 본 보고서에서는 특정 국가 정부 지원으로 사이버 간첩(Cyber Espionage) 행위나 비밀 파괴공작(Sabotage) 활동을 하고 있다고 추정되는 국가 주도 위협 그룹에 대해 다루며 편의상 ‘APT 그룹’이라 부른다. 따라서 본 보고서에서는 금전적 이득을 목적으로 하는 사이버 범죄 그룹에 대해서는 다루지 않는다. 한 달 동안 안랩을 포함한 보안
2024년 07월 APT 공격 동향 보고서(국내)
본 보고서는 2024년 7월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 아래는 일부의 내용을 요약한 정보이다. [목차] 개요 APT 국내 공격 동향 1) Spear Phishing 1.1 LNK를 활용한 공격 1.2 HWP를 활용한 공격 1.3 JSE를 활용한 공격 1.4 DOC를 활용한 공격 1.5
파리 2024 올림픽 : 스포츠와 평화를 위협하는 사이버 공격
배경 올림픽과 월드컵 같은 스포츠 경기는 세계인의 화합과 축제의 장이지만, 분쟁의 역사이기도 하다. 1972년 뮌헨 올림픽에서 유대인 선수들이 공격당했으며, 1996년 애틀랜타 올림픽에서는 폭탄 테러가 일어나 2명의 사망자와 111명의 부상자가 발생했었다. 이런 물리적 공격 외에도 2018 평창 동계 올림픽 개막식에서는 사이버 공격이 발생했었다. 2024년 7월 26일 프랑스에서 개최 예정인
Kimsuky 그룹이 사용하는 Github Repository
개요 AhnLab SEcurity intelligence Center(ASEC)에서는 Kimsuky 그룹의 악성코드를 분석하던 중 특정 GitHub Repository를 발견했다. 확인 결과 2020년부터 유포 중인 FlowerPower 악성코드 유형이 업로드되어 있는 것을 확인했으며 해당 Github로 유출된 사용자 정보가 업로드되어 있으며 과거에 사용한 유형과 동일한 유형[1]임을 확인했으며 분석하는 현 시간(07/05)까지 접근이 가능했다. [그림 1] GitHub Repository
2024년 06월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 6월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2024년 6월 APT 국내 공격 통계 국내 유포가 확인된 APT 공격에 대해서는
Kimsuky 그룹의 신규 백도어 등장 (HappyDoor)
목차 개요 유포 방식 및 변화 유포 방식 HappyDoor의 변화 상세 분석 요약 특징 레지스트리(Registry) 데이터 패킷 데이터 패킷 구조 및 서버 동작 방식 기능 정보 탈취 백도어 결론 본 보고서에서는 AhnLab TIP(AhnLab Threat Intelligence Platform)에 소개된 ‘Kimsuky 그룹의 HappyDoor 악성코드 분석 보고서‘의 요약 본으로 침해 사고 분석에 필요한
국내 기업 대상 공격에 사용 중인 Xctdoor 악성코드 (Andariel)
AhnLab SEcurity intelligence Center(ASEC)은 최근 특정되지 않은 공격자가 국내 ERP 솔루션을 악용하여 공격을 수행하는 정황을 확인하였다. 공격자는 시스템에 침투한 이후 기업 내의 시스템들을 장악하기 위해 국내 특정 ERP 솔루션의 업데이트 서버를 공격한 것으로 추정된다. 또 다른 공격 사례에서는 취약한 웹 서버를 공격하여 악성코드를 유포하였다. 공격 대상이 된 곳은 국내 방산
SoftEther VPN을 설치하는 국내 ERP 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업의 ERP 서버를 공격하여 VPN 서버를 설치하는 공격 사례를 확인하였다. 공격자는 최초 침투 과정에서 MS-SQL 서비스를 공격하였으며 이후에는 웹쉘을 설치하여 지속성을 유지하고 감염 시스템을 제어하였다. 여기까지의 과정이 끝난 후에는 감염 시스템을 VPN 서버로 활용하기 위해 최종적으로 SoftEther VPN 서비스를 설치한 것이 특징이다. 1. Proxy
2024년 05월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 5월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2024년 5월 APT 국내 공격 통계 국내 유포가 확인된 APT 공격에
