정보 탈취형 악성코드 LummaC2, 가짜 캡차 인증 페이지를 통해 유포 중
ASEC(AhnLab SEcurity intelligence Center)에서는 붙여넣기 기능을 활용하여 유포되는 DarkGate 악성코드를 소개한 바 있다. 붙여넣기 기능으로 명령어 실행을 유도하는 피싱 메일 주의 해당 사례의 유포 방식은 MS Word 파일 열람을 위장한 HTML 첨부파일(피싱메일)을 통해 악성코드를 유포하였으나, 최근에는 가짜 캡차 인증 페이지를 통해 유포되는 정보 탈취형 악성코드(LummaC2)가 확인되었다. 1. 유포 경로 초기
주간 탐지 룰(YARA, Snort) 정보 – 2025년 1월 2주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 1월 2주) 정보입니다. 0 YARA Rules 10 Snort Rules 탐지명 설명 출처 ET TROJAN Observed Malicious User-Agent (UNK_FlappyBird) 악성 User-Agent (UNK_FlappyBird) 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET SCAN ELF/Mirai Variant UDP (Inbound) M1 Mirai 변종 UDP 유입 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET SCAN ELF/Mirai Variant UDP
주간 피싱 이메일 유포 사례 (2024/12/22~2024/12/28)
본 포스팅에서는 2024년 12월 22일부터 12월 28일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL)를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어 등)을 구분하여 소개한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로 고유
Android Malware & Security Issue 2025년 1월 1주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2025년 1월 1주차”를 게시한다.
AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지
Play 랜섬웨어는 Balloonfly 또는 PlayCrypt라고도 불리며 2022년 6월 최초로 확인된 이후 현재까지 전 세계에서 300개 이상의 조직을 공격한 것으로 알려져 있다. 파일 암호화 이후 “.PLAY” 확장자를 추가하는 것이 특징이며 최근까지도 활발하게 활동하고 있다. 다른 랜섬웨어 공격자들과 동일하게 시스템들을 암호화하기 전에 정보를 탈취하여 피해자를 협박하며 웹 사이트에서 공격당한 업체의 리스트들을 공개한다.
Ransom & Dark Web Issues 2025년 1월 1주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2025년 1월 1주차를 게시한다. 한국의 아동 도서 전문 서점 고객 정보 데이터, BreachForums에 유출 한국의 인터넷 전문 은행 RDP 접근 권한, BreachForums에서 판매 대한민국 환경부의 소스코드, BreachForums에 유출
주간 탐지 룰(YARA, Snort) 정보 – 2025년 1월 1주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2025년 1월 1주) 정보입니다. 0 YARA Rules 5 Snort Rules 탐지명 설명 출처 ET TROJAN Observed ClickFix Powershell Delivery Page Inbound ClickFic Powershell 전달 페이지 유입 패킷 탐지 https://rules.emergingthreatspro.com/open/ ET TROJAN Win32/Unk.Coinminer Checkin Coinminer 체크인 패킷 탐지(업데이트) https://rules.emergingthreatspro.com/open/ ET TROJAN W32/BitCoinMiner.MultiThreat Getblocktemplate Protocol Server
Android Malware & Security Issue 2024년 12월 4주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 12월 4주차”를 게시한다.
주간 탐지 룰(YARA, Snort) 정보 – 2024년 12월 4주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 12월 4주) 정보입니다. 5 YARA Rules 탐지명 설명 출처 PK_BankID_poko BankID(노르웨이 신원확인)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_DisneyPlus_blackforce Disney Plus를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_O365_itna1337 Office365를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_BanquePostale_z0n51_2 la Banque Postale(프랑스 은행)를 사칭하는 Phishing Kit 탐지 https://github.com/t4d/PhishingKit-Yara-Rules PK_antai_inun2
Ransom & Dark Web Issues 2024년 12월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2024년 12월 4주차를 게시한다. 랜섬웨어 갱단 LockBit: 핵심 멤버 Rostislav Panev 체포에도 불구하고 4.0 출시로 복귀 선언 Play 랜섬웨어의 새로운 피해자로 게시된 세계 최대 도넛 브랜드 한국 특수선재 제조 기업 데이터, BreachForums에 유출
