Andariel 공격 그룹이 활용하는 RID Hijacking 공격 기법
ASEC(AhnLab SEcurity intelligence Center)은 Andariel 공격 그룹이 침해 과정에서 악성 파일을 이용해 RID Hijacking 공격을 수행하는 것을 확인했다. RID Hijacking은 일반 사용자나 게스트 계정과 같이 제한된 권한을 가진 계정의 RID(상대 식별자)값을 관리자와 같이 높은 권한을 가진 계정의 RID 값으로 변조하는 공격 기법이다. 한국인터넷진흥원에서 공개한 “TTPs #11: Operation An Octopus
Ransom & Dark Web Issues 2025년 1월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 1월 4주차를 게시한다. 미국의 IT 인프라 솔루션 개발 회사 OOO OOO Enterprise의 데이터, BreachForums에서 판매 Funksec 랜섬웨어의 새로운 피해자로 게시된 한국의 네트워킹 장비 생산업체, OOO 일본 OOO 테마파크 OOO, DDoS 공격으로 서비스 운영에
주간 탐지 룰(YARA, Snort) 정보 – 2025년 1월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 1월 4주) 정보입니다. 7 YARA Rules 탐지명 설명 출처 PK_SumUp_pseller SumUp(런던 금융기술)을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_SwissPass_z3ci_2 SwissPass 를 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_PayPal_0x PayPal 을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_IndonesiaBaikId_malay IndonesiaBaik을 사칭한 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_ATandT_yb AT&T를 사칭한
Android Malware & Security Issue 2025년 1월 3주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2025년 1월 3주차”를 게시한다.
Ransom & Dark Web Issues 2025년 1월 3주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 1월 3주차를 게시한다. 한국의 대형 식료품 소매 기업에 대한 접근 권한, XSS에서 판매 Cl0p 랜섬웨어의 새로운 피해자로 게시된 전 세계 59개 기업 랜섬웨어 갱단 Funksec과 FSociety, 협력 관계 발표
주간 탐지 룰(YARA, Snort) 정보 – 2025년 1월 3주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 1월 3주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_BancaTransilvania_bt24 BancaTransilvania(루마니아 은행) 를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_DHL_wespam DHL을 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_IdahoCentralCU_prohqcker Idaho Central Credit Union(미국 신용조합)을 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_Binance_kr3pto Binance(암호화폐 거래소)를 사칭하는 Phishing Kit 탐지
MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의
2024년 12월, AhnLab SEcurity intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다. 해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.
광고 페이지를 통해 유포 중인 DigitalPulse Proxyware
AhnLab SEcurity intelligence Center (ASEC)은 최근 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 Proxyware가 설치 중인 것을 확인하였다. 최종적으로 설치되는 Proxyware는 Netlink Connect 인증서로 서명되었지만 분석 결과 과거 Proxyjacking 공격 캠페인에서 악용되었던 DigitalPulse의 Proxyware와 동일하다. 사용자들은 정상 프로그램을 설치하는 과정에서 광고 페이지를 통해 AutoClicker라는 위장 프로그램을 설치할 수 있고 최종적으로 설치된
Android Malware & Security Issue 2025년 1월 2주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2025년 1월 2주차”를 게시한다.
Ransom & Dark Web Issues 2025년 1월 2주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 1월 2주차를 게시한다. Anonymous Sudan, 새로운 조직으로 복귀 선언 새로운 랜섬웨어 갱단 Morpheus 등장 한국의 ICT 프로토타입 서비스 회사 데이터: BreachForums에서 판매
