국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 Posted By Sanseo , 2023년 5월 22일 AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 사례를 소개한 바 있다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속을 필요로 하는 사람들이 설치했던 사례가 많았으며 블로그 공개 이후 조치가 완료되었다. 하지만 최근 동일한 VPN 업체의 인스톨러에서 SparkRAT을 설치하는 악성코드가 다시 유포된 사례가 확인되었다. 악성코드 유포는 일정 기간 이후 중단되었는데, 공격 흐름의 유사성이나 공격 과정에서 SparkRAT이 사용되는 점 등을 보아 동일한 공격자의 소행으로 추정된다. 여기에서는 최근 다시 확인되고…
스페인 사용자들을 대상으로 유포 중인 StrelaStealer Posted By gygy0101 , 2023년 5월 18일 AhnLab Security Emergency response Center(ASEC) 에서는 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 StrelaStealer 가 유포 중인 것을 확인하였다. StrelaStealer 악성코드는 지난 2022년 11월경 처음 발견되었으며, 스팸 메일의 첨부 파일을 통해 유포되고 있다. 첨부 파일에는 ISO 파일이 이용되어 왔으나, 최근에는 ZIP 파일을 이용하고 있다. 유포 중인 이메일은 [그림 1] 과 같다. 해당 메일에서 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있으며, 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은…
윈도우 IIS 웹 서버를 노리는 Lazarus 그룹 Posted By muhan , 2023년 5월 17일 AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD) 로그를 보면 공격 대상이 윈도우 서버 시스템이고, IIS 웹 서버 프로세스인 w3wp.exe에 의해 악성 행위가 수행되는 것이 확인된다. 이에 따라 공격자 또한 부적절하게 관리되고 있거나 취약한 웹 서버를 최초 침입…
스팸 메일로 유포 중인 DarkCloud 인포스틸러 Posted By Sanseo , 2023년 5월 17일 ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다. 1. 유포 방식 공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다. 해당 메일은 회사 계정으로 지불된 첨부된 지불 사본을 확인하도록 유도하는 내용이며, 첨부 파일의 압축을 해제하면 PDF 아이콘을 위장하고 있기 때문에 일반적인 사용자의 경우 이러한 메일을 받았을 때 문서 파일로 생각하고 악성코드를 실행할…
Kimsuky 그룹의 대북 종사자 대상 피싱 공격 Posted By suuzzane , 2023년 5월 16일 AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다. ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버[1]/카카오[2]의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력 해놓은 것을 확인할 수 있다. 만약 사용자가 로그인 시도를 하게 되면 사내 웹메일 사이트의 계정정보를 확보하게 되는 것이므로, 공격자에게는 사용자의 포털사이트 계정정보를 확보하는 것만큼 유용한 데이터일 것으로 판단된다. 그림 1)…
