BlackBit 랜섬웨어 국내 유포 중 Posted By kwonxx , 2023년 4월 17일 AhnLab Security Emergency response Center(ASEC)에서는 모니터링 중 svchost.exe로 위장한 BlackBit 랜섬웨어가 유포중인 것을 확인하였다. ASEC 내부 인프라를 통해 확인한 결과, BlackBit 랜섬웨어는 작년 9월경부터 유포되기 시작하여 현재까지 유포되고 있는 것으로 확인되었다. BlackBit 랜섬웨어는 닷넷 리액터를 활용하여 코드 난독화가 되어있는데, 이러한 형태는 분석을 방해하기 위함으로 추정된다. 실제 동작하는 랜섬웨어는 LokiLocker 랜섬웨어와 유사한 특징을 확인할 수 있다. BlackBit 랜섬웨어는 암호화 행위 수행 이전에 아래와 같은 여러 준비 작업을 수행한다. 지속성 악성코드의 지속성을 위해 자기 자신을 winlogin.exe의 파일명으로 시작 프로그램 경로와 %AppData%경로에 복사한…
MS-SQL 서버를 공격 중인 Trigona 랜섬웨어 Posted By Sanseo , 2023년 4월 10일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Trigona 랜섬웨어가 설치되고 있는 것을 확인하였다. Trigona는 상대적으로 최근이라고 할 수 있는 2022년 10월 최초로 확인된 랜섬웨어로서 최근 Unit 42에서도 CryLock 랜섬웨어와의 유사성을 바탕으로 보고서를 공개한 바 있다. [1] 1. 부적절하게 관리되고 있는 MS-SQL 서버 부적절하게 관리되고 있는 MS-SQL 서버라고 한다면 주로 외부에 노출되어 있으면서 계정 정보를 단순하게 설정하여 무차별 대입 공격이나 사전 공격에 취약한 환경을 말한다. 만약 공격자가 로그인에 성공할 경우 시스템에 대한 제어는 공격자에게 넘어가게 되며…
변조 Q-Dir 로 공격한 Tick 그룹의 추가 활동과 Operation Triple Tiang과의 관계 Posted By CHA Minseok(Jacky) , 2023년 4월 10일 2023월 3월 Eset은 동아시아 DLP 제작 업체에서 발견된 악성코드를 분석해 Tick 그룹의 소행이라고 밝혔다. Tick 그룹은 2014년 이후 주로 한국, 일본 지역에서 활동하며 우주항공, 군, 방위산업, 중공업, 전자, 통신, 정부 기관, 외교 등의 분야를 공격하고 있다. AhnLab Security Emergency response Center (ASEC)은 이 그룹의 추가 활동을 확인해 공개한다. * 변조된 Q-Dir 변형들 AhnLab Security Emergency response Center (ASEC)은 2021년 1월부터 2022년 8월까지 한국에서 수집된 Q-Dir로 가장한 악성코드 3개를 추가로 확인했다. 확인된 2개 변형은 ReVBSHell 백도어를 떨어뜨리지만 2022년 8월…
이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중 Posted By suuzzane , 2023년 4월 7일 AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.뱅킹형 악성코드로 알려진 Qakbot은 다양한 매개체를 통해 지속적으로 유포되고 있는 악성코드 중 하나이며, ASEC에서는 기존에도 해당 악성코드의 유포동향을 소개해 온 바 있다. 유포되는 이메일은 다음과 같이 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태를 띄고 있는데, 수신대상으로는 기존메일의 수신/참조인 메일주소를 활용하였다. 원본 이메일이 오간 시점은 2018~2022년으로 매우 다양한 양상을 보이고 최근 시점의 이메일은 아닌 것으로 확인되었다. 관련이 없는 원문에 대해 첨부파일과 함께 전달되는…
3CX DesktopApp 공급망 공격, 국내에서도 확인 Posted By ASEC , 2023년 4월 5일 2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다. AhnLab Security Emergency response Center(ASEC)에서는 다음 블로그를 통해 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개한 바 있다. [2] 본 글에서는 공격에 사용된 악성코드들에 대한 분석 정보와 자사 AhnLab Smart Defense(ASD) 로그를 통해 확인된 국내 감염 내역을 알리려한다. 국내 확인 로그 다음은 공급망 공격이 알려지기 이전에 확인된 자사 ASD(AhnLab Smart Defense) 로그이다. 3월…
