Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업 및 기관을 대상으로 한 Andariel 그룹의 APT 공격 사례를 확인하였다. 공격 대상으로 확인된 조직들은 국내 제조업, 건설 업체 및 교육 기관이었으며, 백도어뿐만 아니라 키로거, 인포스틸러 그리고 프록시 도구들이 공격에 사용되었다. 공격자는 이러한 악성코드들을 이용해 감염 시스템을 제어하고 시스템에 존재하는 데이터를 탈취할 수
2024년 4월 APT 그룹 동향 보고서
2024 4월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) APT28 (Forest Blizzard) 마이크로소프트 위협 인텔리전스 (Microsoft Threat Intelligence)는 러시아 기반의 위협 행위자인 APT28 활동에 대한 조사 결과를 공개했다.[1] 이 그룹은 2020년 6월(빠르면 2019년 4월)부터 윈도우 프린트 스풀러 권한 상승(Windows
사용자 정보를 탈취하는 CHM 악성코드 국내 유포
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 CHM 악성코드가 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 유포 중인 CHM 은 과거부터 LNK, DOC, OneNote 등 다양한 포맷을 통해 꾸준히 유포되던 유형으로, 최근 동작 과정에 약간의 변화가 확인되었다. 연관 게시글(2023.06.16) 한글 문서 파일을 위장한 악성코드(Kimsuky)(2023.03.20) 사례비 지급 내용으로 위장한 OneNote
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장)
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 국가정보 아카데미 8기 통합과정 수료증(최종본).lnk Gate access roster 2024.lnk 동북공정(미국의회조사국(CRS Report).lnk 설비목록.lnk 확인된 LNK 파일은
2024년 3월 APT 그룹 동향 보고서
2024년 3월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel 안랩 ASEC은 Andariel 그룹이 한국 자산 관리 솔루션 IMON Client, NetClient를 이용한 공격을 진행하고 있다고 공개했다.[1] 이들은 AndarLoader, Andardoor, ModeLoader 등의 자체 악성코드와 원격 관리 프로그램인 MeshAgent를 이용했다. 2) APT29
국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다. 비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의
국내 자산 관리 솔루션을 악용하여 공격 중인 Andariel 그룹 (MeshAgent)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Andariel 그룹이 국내 기업들을 대상으로 지속적인 공격을 수행 중인 것을 확인하였다. 이번에 확인된 공격의 특징이라고 한다면 공격 과정에서 MeshAgent를 설치한 사례가 확인되었다는 점이다. MeshAgent는 원격 관리 도구로서 원격 제어를 위한 다양한 기능들을 제공하기 때문에 다른 원격 관리 도구들처럼 공격자들이 악용하는 사례들이 자주 확인된다. 공격자는 이전
2024년 2월 APT 그룹 동향 보고서
2023년 2월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) APT28 미국 정부는 2024년 1월 법원이 승인한 오페레이션 다잉 엠버(Operation Dying Ember)로 러시아 연방군 총참모부 정보총국 (GRU)에서 운영한다고 의심받는 APT28 그룹의 봇넷을 차단했다고 밝혔다.[1] APT28 그룹은 Moobot 악성코드를 사용해 봇넷을 구성했다.
보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 건설 관련 협회의 홈페이지 상에서 보안 프로그램 설치 시도 시, 악성코드가 다운로드 되고 있다는 정황을 확인하였다. 해당 홈페이지에서 제공하는 서비스를 사용하기 위해서는 로그인이 필요하며 보안을 위해 다양한 보안 프로그램들을 설치해야 로그인을 진행할 수 있다. 로그인을 위해 설치하도록 유도되는 프로그램들 중 악성코드가 포함된 설치 프로그램이
AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
