취약한 RDP를 통해 유포되는 Phobos 랜섬웨어 주의 Posted By skyung , 2023년 11월 2일 ASEC(AhnLab Security Emergency response Center)은 최근 Phobos 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. Phobos 랜섬웨어는 Dharma, CrySis 랜섬웨어와 기술 및 운영상의 유사점을 공유하는 변종 형태로 알려진 랜섬웨어로 알려져있다. 이들은 일반적으로 외부에 노출된 보안이 취약한 RDP 서비스를 공격 벡터로하여 유포되는 특징이 있으며, 이와 같이 보안이 취약한 RDP를 Initial Access로 활용한 랜섬웨어 유포는 매우 빈번하게 발생하기에 관리자의 각별한 주의가 필요하다.[1] [2] [3] 1. Phobos 랜섬웨어 개요 Phobos 랜섬웨어는 파일 감염 시 원본 확장자 뒤에 다음과 같이 “감염 PC의 VSN(Volume Serial Number)”, “공격자…
악성코드 패키지 다운로드하는 Phishing형 PDF Posted By ov5925 , 2023년 11월 1일 AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다. 유포된 PDF 파일 내에 포함된 버튼을 클릭하면 악성 URL주소로 접속한다. 아래 그림은 PDF 파일을 열었을 때 나타나는 화면으로, 붉은 음영으로 표시된 두 버튼 중 하나를 누르면 아래의 주소로 접속한다. 접속한 링크에서는…
[Kimsuky] Operation Covert Stalker Posted By securityresponseteam , 2023년 11월 1일 안랩은 2022년 04월 29일 금요일 퇴근 무렵 “북한 4.25 열병식 관련 내용의 악성 워드 문서 유포”라는 제목의 분석 정보를 ASEC블로그에 공개한 적이 있습니다. [+] 열병식 내용으로 위장한 악성코드 분석 정보: https://asec.ahnlab.com/ko/33878 본 보고서는 위 분석 정보에 설명된 주요 특징(C2, 웹쉘 등)과 유사한 패턴을 가진 Kimsuky 조직의 해킹 활동(C2 운영, 관리, 해킹 메일 발송, 악성코드 유포 등)에 대해서 약 17개월 동안 추적하고 분석한 내용을 바탕으로 Kimsuky 조직의 해킹 활동이 북한, 정치, 외교, 안보 분야에 종사하는 특정인이나 조직을 대상으로 피싱, 악성코드를 첨부한 해킹…
악성 OLE 개체가 삽입된 한글 문서 주의 Posted By yeeun , 2023년 10월 27일 AhnLab Security Emergency response Center(ASEC)은 국방, 언론 등 특정 분야의 관계자를 대상으로 하는 악성 OLE 개체가 삽입된 한글 문서(.hwp)를 확인하였다. 악성코드는 주로 메일에 삽입된 다운로드 URL 혹은 첨부 파일을 통해 유포되는 것으로 추정된다. 유포되는 문서의 파일명이 국방, 통일, 교육 및 방송 분야와 관련되어 있어 공격자는 해당 분야 관계자를 대상으로 악성코드를 유포하는 것으로 보인다. 본문에서 분석한 한글 문서는 크게 두 가지 유형으로, 외부 URL에 접속하는 유형과 추가 스크립트 파일을 생성하는 유형이 확인되었다. [유형 2]의 경우 기존 게시글[1] 에서 확인된 악성코드와 동작…
정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking) Posted By KDH , 2023년 10월 26일 정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종 사용되는 방식이다. 상용 소프트웨어의 크랙, 키젠 등으로 위장한 악성코드 유포 또한 DLL 하이재킹 방식의 샘플 비중을 점차 늘려가고 있다. 본격적인 유포는 지난 5월경 관측되기 시작하였으며, 다시 8월부터 최근까지 활발하게 유포…