후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft) Posted By gygy0101 , 2023년 9월 4일 ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서 사용된 명령어가 동일하게 확인되었다. 이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과…
Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft) Posted By yeeun , 2023년 9월 1일 AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로 확인된다. 악성 LNK 파일은 ‘REPORT.ZIP’ 파일명으로 업로드 되어 있다. 해당 파일은 <링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)>[2]에서 확인된 악성코드와 동일하게 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트…
Andariel 그룹의 새로운 공격 활동 분석 Posted By Sanseo , 2023년 8월 22일 목차1. 과거 공격 사례…. 1.1. Innorix Agent 악용 사례…….. 1.1.1. NukeSped 변종 – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. 국내 기업 공격 사례…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped 변종2. 최근 공격 사례…. 2.1. Innorix Agent 악용 사례…….. 2.1.1. Goat RAT…. 2.2. 국내 기업 공격 사례…….. 2.2.1. AndarLoader…….. 2.2.2. DurianBeacon3. 최근 공격 사례들의 연관성4. Andariel 그룹의 과거 공격 사례들과의 연관성5. 결론 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는…
MS-SQL 서버 대상 Proxyjacking 공격 사례 분석 Posted By Sanseo , 2023년 8월 16일 AhnLab Security Emergency response Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 하는 Proxyjacking 공격 사례를 확인하였다. 외부에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버들은 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 일반적으로 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 무차별 대입 공격이나 사전 공격을 통해 로그인에 성공할 경우 감염 시스템에 악성코드를 설치할 수 있다. 해당 공격자는 과거부터 MS-SQL 서버를 대상으로 LoveMiner를 설치하고 있으며 Proxyjacking 공격과 Cryptojacking 공격을 함께 수행하는 것이 특징이다. 최근 공격과 비교해서 차이점이…
국내 기업들의 웹 서비스를 대상으로 하는 APT 공격 사례 분석 Posted By Sanseo , 2023년 8월 14일 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 본 포스팅에서는 수년간 지속적으로 국내 기업들의 웹 서버를 공격 중인 APT 공격 사례를 정리하였으며, 공격에 사용된 다양한 악성코드 및 도구들의 IoC도 함께 공개한다. 공격자는 대부분의 감염 시스템들에서 “tripod”라는 이름의 계정을 악용하고 있으며 이러한 점은 해당 공격자를 특정할 수 있는 몇 가지…