악성코드 정보

신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포

신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는 대부분 RecordBreaker(Raccoon V2) 악성코드가 사용되나, LummaC2 Stealer가 종종 모습을 보이고 있다. 3월 3일 최초 발견되었으며, 3월 12일, 3월 20일에도 유포된 이력이 확인되어 약 일주일 간격으로 모습을 보이고 있다.  …

‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황

3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 안랩은 합동 보안 권고문에 공개된 침해지표(IoC) 파일을 다음과 같이 진단한다. 침해지표 MD5 진단명 엔진버전 012d5ffe697e33d81b9e7447f4aa338b 설정 파일로서 진단대상 아님 – 51527624e7921a8157f820eb0ca78e29 Backdoor/JS.Agent.SC182439 2022.11.02.03 582a033da897c967faade386ac30f604 Backdoor/JS.Agent.SC182438 2022.11.02.03 04bb7e1a0b4f830ed7d1377a394bc717 Android-Trojan/Kimsuky 2022.10.27.00 89f97e1d68e274b03bc40f6e06e2ba9a Android-Trojan/FastSpy 2022.10.28.05…

리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있으며 여기에서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot을 다룬다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과…

사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)

AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다. 원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다. 해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이…

Nevada 랜섬웨어 국내 유포 중

AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트 내에 지불을 위한 Tor 브라우저 링크가 존재한다. 1. Nevada 랜섬웨어 주요 기능 해당 랜섬웨어는 하단의 그림과 같이 세부 실행 방식 지정을 위한 커맨드 기반 옵션을 지원하고 있다. 별도의 옵션을 지정하지 않고 실행 시, 모든 드라이브를 순회하며 암호화만을 진행하지만 “file’, “dir” 옵션 지정을…