주간 탐지 룰(YARA, Snort) 정보 – 2024년 8월 5주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 8월 5주) 정보입니다. 14 YARA Rules 탐지명 설명 출처 PK_Chase_prohqcker Chase bank를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Colissimo_blackforce Colissimo(프랑스 택배 서비스)를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_IDME_prohqcker ID.me(신원증명 서비스)를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_LCL_2024 LCL(프랑스 은행)을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Metamask_f528764
ViewState를 악용한 Godzilla WebShell 유포 (금융권 대상)
개요 AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 취약한 환경 설정으로 ASP.NET를 운영 중인 금융권 대상의 공격 정황을 확인하였다. ASP.NET에서 지원하는 ViewState 기능은 ASP.NET 모듈에서 직렬화 및 역직렬화 과정을 통해 데이터를 처리한다. 공격자는 이 과정을 악용하여 공격 대상 PC에 WebShell을 설치하였다. 해당 WebShell 악성코드는 분석 결과 Godzilla WebShell 악성코드로 확인되었다. Godzilla
브라우저 업데이트로 위장한 악성코드
최근 ASEC(AhnLab SEcurity intelligence Center)에서는 브라우저 업데이트로 위장한 악성코드가 불특정 다수를 대상으로 유포 중인 정황을 확인하였다. 해당 악성코드는 감염된 웹 사이트를 통해 유포되며 사용자가 감염된 웹 사이트에 접속하게 될 경우 악성 스크립트가 로드 된다. 악성 스크립트는 크롬이나 파이어폭스 등의 브라우저 업데이트 창을 생성하며 사용자가 악성 파일을 직접 다운로드 하도록 유도한다.
noMu Backdoor를 이용한 APT 공격 사례 분석 보고서
AhnLab SEcurity intelligence Center(ASEC)은 최근 알려지지 않은 공격자가 국내 사용자와 시스템들을 대상으로 다양한 원격 제어 악성코드들을 설치하는 공격 사례를 확인하였다. 공격자는 다양한 리버스 쉘, 백도어, VNC 악성코드들을 사용하였으며 이외에도 원격 화면 제어를 위해 RDP를 사용하기도 하였다. 공격자가 제작한 것으로 추정되는 악성코드 중에는 출력 결과를 한글 인코딩으로 변환하는 코드가 존재하는 것을
주간 탐지 룰(YARA, Snort) 정보 – 2024년 8월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 8월 4주) 정보입니다. 6 YARA Rules 탐지명 설명 출처 MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_AAF0 LOLDrivers 프로젝트에서 언급된 악성 드라이버를 PE 헤더의 VersionInfo 값을 사용하여 탐지 – mimidrv.sys https://github.com/Neo23x0/signature-base MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_DDF4 LOLDrivers 프로젝트에서 언급된 악성 드라이버를 PE 헤더의 VersionInfo 값을 사용하여 탐지 – mimidrv.sys https://github.com/Neo23x0/signature-base MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_0F58 LOLDrivers 프로젝트에서 언급된
아마존 서비스를 악용하는 MSC파일 유포중
최근 ASEC(AhnLab SEcurity Intelligence Center)에서는 아마존 서비스를 악용하는 악성 MSC 파일이 유포 중인 것을 확인했다. MSC 확장자는 XML 파일 포맷 구조를 가지고 있는 것이 특징이며 MMC(Microsoft Management Console)에 의해 실행되는 방식이다. 지난 6월 22일 Elastic Security Labs에 의해 공개된 이후부터 유포량이 증가했으며 이번에 확보한 2개의 MSC 파일은 MSC 파일 내부
주간 탐지 룰(YARA, Snort) 정보 – 2024년 8월 3주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 8월 3주) 정보입니다. 7 YARA Rules 탐지명 설명 출처 PK_Cetelem_vara Cetelem(프랑스 은행)을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Netflix_es Netflix를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_WeTransfer_venza WeTransfer를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_WhatsApp_arpantek WhatsApp을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_impots_gouv_fr_waker2 impots.gouv.fr(프랑스 국세청)를 사칭한 Phishing
주간 탐지 룰(YARA, Snort) 정보 – 2024년 8월 2주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 8월 2주) 정보입니다. YARA룰 7건 탐지명 설명 출처 PK_DocuSign_dong DocuSign을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_GECU_z118 GECU Credit Union(신용협동조합)을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_GarantiBBVA_Turkey 터키 Garanti BBVA 은행을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Netflix_ug3yo 넷플릭스를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Wallets_imp Wallet
2024년 7월 랜섬웨어 동향 보고서
본 보고서는 2024년 7월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 하기는 일부 요약된 정보이다. 랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS(Dedicated
2024년 7월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다. 금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 텔레그램으로 유출된 국내 계정의 산업군 통계도 제공했다. 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다뤘다.
