MS-SQL 서버를 대상으로 하는 Netcat 공격 사례 (LOLBins) Posted By Sanseo , 2023년 3월 7일 ASEC(AhnLab Security Emergency response Center)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Netcat 악성코드가 유포되고 있는 것을 확인하였다. Netcat은 TCP / UDP 프로토콜로 연결된 네트워크 상에서 특정 대상과 데이터를 송수신하게 해주는 유틸리티이다. 리눅스뿐만 아니라 윈도우 환경에서도 사용 가능하며, 다양한 기능들을 제공하기 때문에 네트워크 관리자뿐만 아니라 공격자들에 의해서도 다양하게 사용되고 있다. 1. Netcat 악성코드 관점에서 Netcat의 특징이라고 한다면 원격 쉘(Remote Shell)로서 사용 가능하다는 점이다. 원격 쉘은 공격 대상이 되는 시스템에 대한 쉘을 제공하여 공격자가 공격 대상 시스템에 대한 제어를 획득할 수…
취약점 공격으로 유포 중인 PlugX 악성코드 Posted By Sanseo , 2023년 3월 3일 ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin RCE 취약점을 통해 Sliver C2와 XMRig 코인 마이너 그리고 Gh0st RAT 악성코드가 유포되고 있다는 사실을 공개한 바 있다. 참고로 Gh0st RAT 또한 중국에서 개발된 악성코드임에 따라 주로 중국을 기반으로 하는 공격자들이 주로 사용하는…
국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft) Posted By gygy0101 , 2023년 3월 3일 ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개한다. CHM 파일 실행 시, 국내 금융 기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하며…
복호화 가능한 iswr 랜섬웨어 국내 유포중 Posted By song.th , 2023년 3월 2일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…
RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker) Posted By Sanseo , 2023년 2월 28일 ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다. 공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였으며, 이를 이용해 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 것으로 보인다. 1. RDP를 이용한 랜섬웨어 설치 RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근…
