‘한미 합동 사이버 보안 권고’ 관련, 안랩 유사 대응 사례 Posted By choeyul , 2023년 6월 2일 6월 2일 오늘 대한민국 국가정보원(NIS)·경찰청(NPA)·외교부(MOFA)와 미합중국 연방수사국(FBI)·국무부(DoS)·국가안보국(NSA)은 북한 킴수키 조직의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개하였다. 전세계의 연구소·싱크탱크·학술기관·언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위함이라고 언급하였으며 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인들을 사칭하여 이메일을 통한 스피어피싱 공격을 수행하는 것으로 알려져 있다고 밝혔다. 제목: 북한 김수키 조직의 싱크탱크·학계·미디어 대상 사회공학적 기법을 악용한 해킹공격 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 IOC가 공개되지는 않았으나, 공개된 내용과 유사한 김수키 해킹조직의 사회공학적 기법에 대해 AhnLab Security…
입사지원서를 위장한 악성코드 유포 중 Posted By ye_eun , 2023년 6월 1일 AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다. 위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다. 이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한…
국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 Posted By Sanseo , 2023년 5월 22일 AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 사례를 소개한 바 있다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속을 필요로 하는 사람들이 설치했던 사례가 많았으며 블로그 공개 이후 조치가 완료되었다. 하지만 최근 동일한 VPN 업체의 인스톨러에서 SparkRAT을 설치하는 악성코드가 다시 유포된 사례가 확인되었다. 악성코드 유포는 일정 기간 이후 중단되었는데, 공격 흐름의 유사성이나 공격 과정에서 SparkRAT이 사용되는 점 등을 보아 동일한 공격자의 소행으로 추정된다. 여기에서는 최근 다시 확인되고…
스페인 사용자들을 대상으로 유포 중인 StrelaStealer Posted By gygy0101 , 2023년 5월 18일 AhnLab Security Emergency response Center(ASEC) 에서는 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 StrelaStealer 가 유포 중인 것을 확인하였다. StrelaStealer 악성코드는 지난 2022년 11월경 처음 발견되었으며, 스팸 메일의 첨부 파일을 통해 유포되고 있다. 첨부 파일에는 ISO 파일이 이용되어 왔으나, 최근에는 ZIP 파일을 이용하고 있다. 유포 중인 이메일은 [그림 1] 과 같다. 해당 메일에서 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있으며, 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은…
윈도우 IIS 웹 서버를 노리는 Lazarus 그룹 Posted By muhan , 2023년 5월 17일 AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD) 로그를 보면 공격 대상이 윈도우 서버 시스템이고, IIS 웹 서버 프로세스인 w3wp.exe에 의해 악성 행위가 수행되는 것이 확인된다. 이에 따라 공격자 또한 부적절하게 관리되고 있거나 취약한 웹 서버를 최초 침입…
