주간 탐지 룰(YARA, Snort) 정보 – 2024년 9월 3주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 9월 3주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_AdobePDF_dotloop Adobe PDF Online로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Bancontact_hem Bancontact(벨기에 결제 시스템)로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_DHL_blackforce DHL(글로벌 물류 회사)로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_PayPal_de Paypal로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules
주간 피싱 이메일 유포 사례 (2024/09/01~2024/09/07)
본 포스팅에서는 2024년 9월 1일부터 9월 7일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL) 를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어등)을 구분하여 소개 한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로
GotoHTTP를 악용한 MS-SQL 서버 대상 공격 사례
AhnLab SEcurity intelligence Center(ASEC)에서는 부적절하게 관리되고 있는 MS-SQL 서버를 모니터링하고 있으며 최근 GotoHTTP를 악용한 공격 사례를 확인하였다. 1. GotoHTTP 원격 제어 도구는 원격에서 시스템을 제어하기 위한 목적으로 사용되는 도구로서 원격 데스크톱, 파일 전송 등의 기능을 제공한다. 유명한 원격 제어 도구들로는 AnyDesk, ToDesk, RuDesktop, TeamViewer, AmmyyAdmin 등이 있다.
리눅스 SSH 서버를 대상으로 유포 중인 SuperShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 백도어 악성코드인 SuperShell을 설치하는 공격 사례를 확인하였다. SuperShell은 중국어를 사용하는 개발자에 의해 제작되었으며 Go 언어로 개발되어 윈도우와 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 실질적인 기능은 리버스 쉘이며 공격자는 이를 이용해 감염 시스템을 원격에서 제어할 수 있다. Figure 1.
주간 탐지 룰(YARA, Snort) 정보 – 2024년 9월 2주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 9월 2주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_antai_inun French ANTAI (amendes) (프랑스 정부의 교통 위반 처리 및 벌금 부과와 괄년된 기관) 포탈로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Kraken_ankletee Kraken(미국의 가상 화폐 거래소)으로 위장한 피싱 키트 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_O365_spamfather2 Office 365로 위장한
러시아와 북한 파트너쉽에 관한 논문을 위장한 APT 공격 (Kimsuky)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 사용자를 타겟으로 한 APT 공격 정황을 확인하였다. 해당 공격 과정에서 공격자는 Github 리퍼지토리를 이용하였으며, 해당 리퍼지토리에는 공격에 사용되는 다수의 악성 스크립트와 정상 미끼 파일이 업로드 되어 있다. 그림 1. 공격자의 Github 리퍼지토리 업로드 된 다수의 악성 스크립트를 통해 악성 행위가 수행되며, 최종적으로
2024년 8월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다. 금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다뤘다.
2024년 8월 랜섬웨어 동향 보고서
본 보고서는 2024년 8월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 하기는 일부 요약된 정보이다. 랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS(Dedicated
XMRig 코인 마이너를 유포하는 BMOF(Binary Managed Object File) (MDS 제품 탐지)
본 블로그에서는 BMOF(Binary Managed Object File) 유형의 소개와 이를 통해 XMRig 코인 마이너를 유포하는 사례에 대해서 소개한다. BMOF(Binary Managed Object File) BMOF(Binary Managed Object File)는 WMI(Windows Management Instrumentation)와 관련된 정보를 정의하고 관리하는 사용되는 파일인 MOF(Managed Object File)의 컴파일된 형태이다. 파일 자체는 악성이 아니며 “C:\Windows\System32\wbem” 경로에도 기본적으로 수백개의 파일이
주간 탐지 룰(YARA, Snort) 정보 – 2024년 9월 1주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 9월 1주) 정보입니다. 7 YARA Rules 탐지명 설명 출처 PK_BanquePostale_sicilien : Banque Postale la Banque Postale (프랑스 우체국 은행)으로 위장한 피싱 키트 https://github.com/t4d/PhishingKit-Yara-Rules PK_Binance_uysnx : Binance Binance (암호화폐 거래소)로 위장한 피싱 키트 https://github.com/t4d/PhishingKit-Yara-Rules PK_DHL_x911 : DHL DHL (물류 및 배송 서비스)로
