암호 화폐 사용자들을 대상으로 공격 중인 ViperSoftX
악성코드

암호 화폐 사용자들을 대상으로 공격 중인 ViperSoftX

AhnLab SEcurity intelligence Center(ASEC)은 ViperSoftX 공격자가 국내 사용자들을 대상으로 지속적으로 악성코드를 유포하고 있는 것을 확인하였다. ViperSoftX는 감염 시스템에 상주하면서 공격자의 명령을 실행하거나 암호 화폐 관련 정보를 탈취하는 기능을 담당하는 악성코드이다. ASEC은 2024년 5월 ViperSoftX 공격자의 공격 사례를 분석해 공개하였으며 해당 사례에서는 원격 제어 악성코드인 Quasar RAT과 딥러닝 방식의 오픈 소스

  • 6월 02 2025
Mobile Security & Malware Issue 2025년 5월 5주차
모바일

Mobile Security & Malware Issue 2025년 5월 5주차

ASEC Blog를 통해 한 주간의 “Mobile Security & Malware Issue – 2025년 5월 5주차”를 게시한다.

  • 5월 30 2025
Ransom & Dark Web Issues 2025년 5월 5주차
다크웹

Ransom & Dark Web Issues 2025년 5월 5주차

ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 5월 5주차를 게시한다.               새로운 랜섬웨어 그룹 DATACARRY 등장: 8개국 피해 기업공개 사이버 범죄 포럼에 유출된 한국인 데이터 65,000건 NOVA 랜섬웨어의 새로운 피해자로 게시된 한국의 대학교      

  • 5월 29 2025
국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석
악성코드

국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 PC방을 대상으로 코인 마이너를 설치하고 있는 공격 사례를 확인하였다. 공격자는 2022년부터 활동한 것으로 추정되며 PC방 대상 공격은 2024년 하반기부터 발생하고 있다. 초기 침투 방식은 알 수 없으며 대부분의 공격이 PC방 관리 프로그램이 설치된 시스템을 대상으로 하였다. 공격 과정에서는 감염 시스템을 제어하기 위한 목적으로 Gh0st

  • 5월 26 2025
NCSC와 함께한 TA-ShadowCricket 분석: 최신 악성코드 트렌드와 IRC 서버 추적
APT

NCSC와 함께한 TA-ShadowCricket 분석: 최신 악성코드 트렌드와 IRC 서버 추적

  안랩과 국가사이버안보센터(National Cyber Security Center, 이하 NCSC)는 2023년 부터 최근까지 TA-ShadowCricket 그룹의 활동을 분석한 보고서를 공개했다.   보고서 전문 : (APT그룹추적보고서) TA-ShadowCricket_2025.05.23.pdf   안랩은 2024년 11월부터 NCSC과 함께 악성 IRC 서버와 관련 악성코드를 분석해 식별되지 않은 위협 행위자인 Larva-24013로 할당해 추적했으며, 이들이 기존 Shadow Force 그룹과 연관되어 있음을 확인했다. 안랩은

  • 5월 23 2025
Mobile Security & Malware Issue 2025년 5월 4주차
모바일

Mobile Security & Malware Issue 2025년 5월 4주차

ASEC Blog를 통해 한 주간의 “Mobile Security & Malware Issue – 2025년 5월 4주차”를 게시한다.

  • 5월 23 2025
Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 – Nexaweb 인증서로 서명된 악성코드
APT 악성코드

Larva-25004 (Kimsuky 연관) 그룹의 추가 인증서 악용 사례 – Nexaweb 인증서로 서명된 악성코드

  ASEC(AhnLab SEcurity intelligence Center)은 한국 업체의 인증서로 서명된 악성코드와 동일한 특징을 가진 파일을 조사해 Nexaweb Inc. 인증서로 서명된 악성코드를 발견했다.이들 악성코드는 다른 보안업체에서 Kimsuky 그룹의 활동으로 보고했었다.   안랩은 이들을 Larva-25004로 명명하고 추적 중이다.   Nextweb 인증서 서명 악성코드  발견된 파일은 2개로 MD5 해시 정보는 다음과 같다.   Job

  • 5월 22 2025
DB 클라이언트 도구를 통해 발생하는 정보 유출
트렌드

DB 클라이언트 도구를 통해 발생하는 정보 유출

최근 침해사고에서는 공격자가 단순히 시스템에 접근하는 것을 넘어, 내부 데이터베이스를 직접 조회하고 민감 정보를 탈취하는 정황이 빈번하게 확인되고 있다. 특히 공격자가 피해 시스템에 직접 DB 클라이언트 도구를 설치하여 데이터를 유출하는 방식이 늘어나고 있으며, DBeaver, Navicat, sqlcmd와 같은 정상 도구들이 이 과정에 활용되고 있다.   이러한 행위는 합법적인 관리자의 행위로 위장되기

  • 5월 22 2025
Ransom & Dark Web Issues 2025년 5월 4주차
다크웹

Ransom & Dark Web Issues 2025년 5월 4주차

ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 5월 4주차를 게시한다.               Stormous 랜섬웨어의 새로운 피해자로 게시된 전 세계 6개 호텔 및 리조트 기업 Devman 랜섬웨어의 새로운 피해자로 게시된 대한민국 소재 미확인 기업 Europol 및 Microsoft, Lumma Stealer 인프라에 대한

  • 5월 22 2025
튀르키예 사용자들을 대상으로 유포중인 DBatLoader(ModiLoader)
악성코드

튀르키예 사용자들을 대상으로 유포중인 DBatLoader(ModiLoader)

최근 AhnLab SEcurity intelligence Center(ASEC)에서는 ModiLoader(DBatLoader) 악성코드가 이메일로 유포되는 사례를 확인하였다. ModiLoader는 최종적으로 SnakeKeylogger를 실행시킨다. SnakeKeylogger는 닷넷 언어로 제작된 Infostealer 유형의 악성코드로, 이메일, FTP, SMTP 또는 Telegram 등을 이용한 데이터 유출 방법을 가지고 있는 것이 특징이다. [그림 1]은 유포 이메일의 본문으로, 튀르키예어로 작성되어 있으며 튀르키예 은행을 사칭하여 유포되었다. 거래 내역

  • 5월 16 2025