악성코드 정보

AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어

ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. 1. AweSun 취약점 공격 Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1] AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin…

네이버 로그인화면으로 위장한 웹페이지

ASEC 분석팀은 지난 1월 3일에 카카오의 로그인 페이지를 위장하여 특정인의 계정 정보를 취하려는 정황에 대해 소개한 바 있다. 카카오 로그인화면으로 위장한 웹페이지 공격자는 취약한 웹사이트를 이용하여 도메인을 생성하였었는데, 동일한 방식으로 네이버의 로그인 페이지를 위장한 내용이 확인되어 이를 알리고자 한다. 네이버 고객센터를 사칭하는 유형의 이메일과 해당 이메일을 통해 계정정보를 탈취하려는 웹페이지는 수 년 전부터 지속적으로 확인되어왔다. 다만, 최근에는 동일한 도메인을 활용하여 카카오 사칭 페이지에 이어 네이버 사칭 페이지까지 생성한 정황이 확인된 것이다.   ‘비밀번호 재확인’ 페이지로 접속이 되는 것으로 보아, 사용자의…

윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT

최근 악성코드의 유포 형태가 다양하게 변화하고 있다. 그 중 윈도우 도움말 파일(*.chm) 을 이용한 악성코드가 작년부터 증가하고 있으며, ASEC 블로그를 통해 아래와 같이 여러 차례 소개해왔다. 최근에는 AsyncRAT 악성코드가 chm 을 이용하여 유포 중인 것으로 확인되었다. 전체적인 동작 과정은 [그림 1] 과 같으며, 각 과정에 대해 아래에서 설명한다. 먼저, chm 파일을 실행하게 되면 기존에 소개했던 유형과는 다르게 빈 화면의 도움말 창이 생성된다. 이때 사용자 모르게 실행되는 악성 스크립트의 내용은 [그림 3] 과 같으며, 이전 유형들에 비해 비교적 간단한 형태인 것을…

달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인

  0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드…

Quasar RAT을 유포하는 사설 HTS 프로그램

ASEC 분석팀에서는 최근 사설 홈트레이딩시스템(HTS : Home Trading System)을 통해 Quasar RAT 악성코드가 유포되고 있는 것을 확인하였다. 공격에 사용된 HPlus라는 이름의 HTS는 검색으로 정보를 찾을 수 없다. 또한 설치 과정에서 확인되는 약관에도 업체의 이름이 확인되지 않아 피해자들은 제도권 금융회사에서 제공하는 HTS가 아닌 무인가 또는 위장 금융 투자 업체를 통해 HPlus HTS를 설치한 것으로 추정된다. 사설 HTS가 설치하는 Quasar는 RAT 악성코드로서 공격자가 감염 시스템에 대한 제어를 획득하여 정보를 탈취하거나 악의적인 행위를 수행할 수 있다.   1. 사설 HTS (Home Trading System)…