Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황 Posted By Sanseo , 2023년 11월 17일 AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업…
기업 홍보물 제작을 위장한 악성 LNK 유포 Posted By ch.lim , 2023년 11월 10일 최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다. 악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK…
자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹) Posted By song.th , 2023년 11월 10일 ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다. Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1] 이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도…
공공기관을 사칭하여 유포 중인 악성코드 주의(LNK) Posted By yeeun , 2023년 11월 9일 AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다. 해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다. 메일에 첨부된 HTML 파일 실행 시 다음과 같이…
이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer Posted By kwonxx , 2023년 11월 3일 이력서를 사칭하여 유포하는 방식은 LockBit 랜섬웨어의 대표적인 유포 경로이다. 이와 관련된 내용은 올해 2월 ASEC 블로그를 통해 공유된 바가 있으며,[1] 최근에는 LockBit 랜섬웨어만 유포되던 것과 다르게 정보 탈취형 악성코드를 포함하여 유포 중인 정황을 확인하였다.[2] ‘이력서16.egg’ 내부에는 PDF파일을 위장한 LockBit 랜섬웨어(좌)와 PPT파일을 위장한 Vidar 인포스틸러(우)가 존재하였다. 실행되는 랜섬웨어는 LockBit 3.0 버전으로 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화한다. LockBit 랜섬웨어와 함께 유포되는 Vidar 인포스틸러는 C2 통신 이전에 텔레그램 웹 사이트에 접속한다. 해당 사이트는 “twowheelfun” 채널로 해당 페이지에 명시되어 있는 문자열을…