중국 해커 조직의 국내 기업 정보 탈취 Posted By kingkimgim , 2023년 5월 4일 최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다. 중국 해커 그룹의 가이드 라인 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z”…
국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드 Posted By KDH , 2023년 5월 4일 RecordBreaker Stealer는 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드로, 작년 처음 등장하여 일반 사용자를 대상으로 활발하게 유포 중이다. Raccoon Stealer V2 라고도 불리며 웹 사이트, YouTube 등 다양한 채널을 통해 유포되고 있다. 동일 방식으로 활발히 유포되던 CryptBot이 올해 2월 이후로 완전히 자취를 감추고 이따금 Vidar 악성코드가 모습을 보이긴 하지만 대부분 RecordBreaker가 유포된다. 최근 유포된 샘플 중에서 악성코드의 버전 정보와 인증서를 국내 S/W 기업 제품으로 위장하고 있는 샘플이 발견되어 간략한 내용을 소개하고자 한다. 기존에도 여러 유명 소프트웨어의…
국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT Posted By Sanseo , 2023년 5월 3일 AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수 있다. 1. 유포 사례 SparkRAT이 포함된 VPN 업체는 홈페이지 공지사항의 글들이나 파일이 서명된 인증서로 보아 과거부터 운영하고 있던 곳이다. 즉 현재 악성코드 유포를 위해 제작된 홈페이지는 아니며 악성코드가 포함된 인스톨러가…
MS-SQL 서버 공격에 사용되는 CLR SqlShell 분석 Posted By Sanseo , 2023년 5월 2일 본 블로그에서는 MS-SQL 서버를 대상으로 하는 공격에 사용되는 CLR SqlShell 악성코드들을 분석한다. SqlShell은 웹 서버에 설치될 수 있는 WebShell과 유사하게 MS-SQL 서버에 설치되어 공격자의 명령을 실행하거나 다양한 악의적인 행위를 수행할 수 있는 기능을 지원하는 악성코드이다. MS-SQL 서버에서는 확장된 기능을 사용할 수 있도록 CLR Stored Procedure라고 하는 방식을 지원하는데, SqlShell은 이러한 방식으로 제작된 DLL이다. CLR Stored Procedure는 xp_cmdshell 명령과 함께 공격자들이 MS-SQL 서버에서 악의적인 명령을 실행할 수 있는 대표적인 방식들 중 하나이다. 물론 CLR Stored Procedure가 전달받은 명령을 실행하는 기능이 포함되어…
해킹된 유튜브 계정으로 유포 중인 RecordBreaker 스틸러 Posted By Sanseo , 2023년 4월 27일 RecordBreaker는 2022년 새롭게 등장한 인포스틸러 악성코드로서 Raccoon 스틸러의 새로운 버전이라고도 알려져 있다. CryptBot, RedLine, Vidar와 같은 다른 인포스틸러 악성코드들처럼 주로 S/W 크랙 및 인스톨러로 위장하여 유포되는 대표적인 악성코드이다. ASEC(AhnLab Security Emergency response Center)에서는 최근 해킹된 것으로 추정된 유튜브 계정을 통해 RecordBreaker가 유포되고 있는 것을 확인하였다. 1. 과거 유포 사례 검색 엔진은 악성코드 유포에 사용되는 대표적인 공격 벡터 중 하나이다. ASEC에서는 과거 다음 블로그에서 검색 엔진을 통해 유포되고 있는 RecordBreaker 유포 사례를 공개한 바 있다. 검색 엔진에서 상용 S/W의 크랙, 시리얼,…
