통일 교육 지원서로 위장한 악성 한글 문서
AhnLab SEcurity intelligence Center(ASEC)은 지난 3월 5일 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 확인하였다. 분석 당시 게시 글 하단에는 각각 JPG, HWP, DOC 파일에 대한 다운로드 링크가 존재하였으며, 이 중 HWP 형식의 파일은 지원서를 위장한 악성 파일로 확인되었다. 그림 1. 게시 글 하단에 존재하는
Ransom & Dark Web Issues 2025년 3월 2주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 3월 2주차를 게시한다. 새로운 랜섬웨어 그룹 SecP0: 기업 취약점에 대한 몸값 요구 친팔레스타인 핵티비스트 RipperSec이 대한민국의 통신사, 공공기관, 교육 관련 기업 웹사이트에 대한 DDoS 공격을 주장 친팔레스타인 핵티비스트 Dark Storm Team, X 대상
주간 탐지 룰(YARA, Snort) 정보 – 2025년 3월 2주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 3월 2주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_Generic_RD127 일반적인 메일 자격 증명 스틸러 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_LIDL_ninja LIDL(독일 식료품점) 을 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_MTBank_yochi2 M&T Bank를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_SpareBank_perso SpareBank를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules
Android Malware & Security Issue 2025년 3월 1주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2025년 3월 1주차”를 게시한다.
Ransom & Dark Web Issues 2025년 3월 1주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 3월 1주차를 게시한다. 세계 시장 점유율 2위 즉석 라면 브랜드 기업의 SSH 및 DNS 접근권, BreachForums에서 판매 친러시아 핵티비스트 SECT0R16, 대한민국 전주시 온실 환경 제어 장비 시스템 해킹 주장 랜섬웨어 그룹 Fog: 19개
Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 정상 서버를 침해해 C2로 악용하는 Lazarus 그룹의 공격 사례들을 확인하였다. 국내 웹 서버를 대상으로 웹쉘 및 C2 스크립트를 설치하는 공격 사례들은 지속적으로 발생하고 있으며 나아가 LazarLoader 악성코드와 권한 상승 도구가 확인되는 사례들도 존재한다. 1. C2 스크립트 (Proxy) 2024년 5월 Lazarus 그룹이 국내 웹 서버를 공격해
주간 탐지 룰(YARA, Snort) 정보 – 2025년 3월 1주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 3월 1주) 정보입니다. 1 YARA Rules 탐지명 설명 출처 sig_27244_metasploit_hta_stager UsySLX1n.hta 파일 탐지 https://github.com/The-DFIR-Report/Yara-Rules 23 Snort Rules 탐지명 설명 출처 ET WEB_SPECIFIC_APPS Paessler PRTG Notification Command Injection Attempt (CVE-2018-9276) Paessler PRTG Notification 커맨드 인젝션 시도(CVE-2018-9276) 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET EXPLOIT Exim SQLite (DBM)
Android Malware & Security Issue 2025년 2월 4주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2025년 2월 4주차”를 게시한다.
일본을 노리는 Larva-24005 그룹의 피싱 메일 공격 사례
ASEC(AhnLab SEcurity intelligence Center)은 Larva-24005가 국내에서 운영되고 있는 서버를 침해한 뒤, 피싱 메일 발송을 위한 웹 서버, 데이터베이스, PHP 환경을 구축하는 행위를 확인했다. Larva-24005는 공격 거점을 이용해 국내 뿐만 아니라 일본도 공격 대상으로 삼고 있는 것으로 확인됐다. 주요 공격 대상은 대북 관련 종사자와 북한 체제와 관련된 연구를 하는 대학
Ransom & Dark Web Issues 2025년 2월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 2월 4주차를 게시한다. 랜섬웨어 갱단 Black Basta 내부 채팅 유출: 내부 분열로 활동 감소 한국 보일러 회사의 미국 법인: Akira 랜섬웨어 공격으로 데이터 유출 새로운 랜섬웨어 그룹 Anubis 등장: 다층적 수익 모델 구조
