Ransom & Dark Web Issues 2026년 1월 4주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2026년 1월 4주차를 게시한다. 새로운 랜섬웨어 그룹 0APT, BravoX 식별 [1], [2] 사이버 범죄 포럼 RAMP, FBI와 DOJ에 도메인 압수 World Leaks, 미국의 글로벌 스포츠웨어 기업 대상 랜섬웨어 공격
AhnLab EDR을 활용한 최신 RMM 유포 사례 탐지
AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구들을 악용한 공격 사례가 늘어나고 있는 것을 확인하였다. 과거에는 최초 침투 이후 제어를 탈취하기 위한 공격 과정에서 원격 제어 도구들을 악용해 왔다면 최근에는 최초 유포 단계에서도 RMM 도구를 활용할 정도로 다양한 공격 사례들에서 악용되는 중이다. 여기에서는 최근 확인된 RMM 악용 사례들과
Ransom & Dark Web Issues 2026년 1월 3주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2026년 1월 3주차를 게시한다. Qilin, 한국 반도체·디스플레이 제조 분야 핵심 부품 및 표면처리 전문 기업 대상 랜섬웨어 공격 미국 법무부, Access Broker “r1z” 유죄 인정 Qilin, 베트남 국영 항공사 대상 랜섬웨어 공격 ../
Notepad++ 도구를 위장해 유포 중인 Proxyware
AhnLab SEcurity intelligence Center(ASEC)은 Proxyjacking 공격을 모니터링하고 있으며 국내에서 확인된 유포 사례 및 IoC들을 지속적으로 공개하고 있다. Proxyware를 유포하고 있는 Larva-25012 공격자는 최근 Notepad++를 위장한 악성코드를 사용하고 있으며 이외에도 Proxyware를 탐색기 프로세스에 인젝션하거나 파이썬을 활용하는 등 탐지를 우회하기 위한 기법이 변경되고 있다. Proxyjacking 공격이란 사용자의 동의 없이 Proxyware를 설치하여
국내 사용자들을 대상으로 유포 중인 Remcos RAT
AhnLab SEcurity intelligence Center(ASEC)은 국내 사용자들을 대상으로 Remcos RAT이 유포 중인 것을 확인하였다. 최초 유포 페이지는 알 수 없지만 VeraCrypt 설치 파일을 위장하거나 불법 도박 사이트와 관련된 프로그램과 연관된 것으로 추정된다. 1. 악성코드 유포 최초로 유포된 악성코드는 다음과 같이 “블랙유저 DB조회 *****Club”이라는 이미지를 보여준다. 해당 프로그램은 C&C 서버 즉 DB에
구글 플레이스토어 가상자산 거래소 규제 강화로 인한 보안 취약점·악성 앱 위험 증가
구글은 2026년 1월 28일부터 국내 금융당국의 인가를 받지 않은 해외 가상자산 거래소 앱의 구글 플레이스토어 유통을 전면 차단하기로 결정했다. ※ Google Play. (2026). Preview: Blockchain-based Content. from https://support.google.com/googleplay/android-developer/answer/16302285?sjid=8888255779410190101-NC 그림 1. Google Play Console 정책 센터 구글의 암호화폐 거래소 및 소프트웨어 지갑 정책에 따르면, 가상자산 앱 개발자는 금융정보분석원(FIU)에 신고서를
Ransom & Dark Web Issues 2026년 1월 2주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2026년 1월 2주차를 게시한다. Qilin, 한국 자동차 스마트 팩토리 자동화 장비 제조 회사 대상 랜섬웨어 공격 한국 클라우드 및 호스팅 서비스 기업의 고객사 데이터, DarkForums에서 공유 Everest, 일본 유명 자동차 제조·판매 기업 대상 랜섬웨어 공격
MongoBleed(CVE-2025-14847): 8년간 숨겨져 있던 치명적 MongoDB 메모리 유출 취약점
개요 2025년 말, MongoDB에서 장기간 잠복해 있던 고위험(High) 수준의 메모리 정보 노출 취약점이 공개되었다. MongoBleed로 이름 붙여진 이 취약점은 인증하지 않은 상태에서 초기화되지 않은 힙 메모리를 읽을 수 있고, 이로 인해 민감 정보가 유출될 수 있다. 또한 CISA는 이 취약점을 KEV 목록에 등재하며 실제 악용 정황이 있음을 전제로 신속한 대응을
동영상 파일을 위장해 유포 중인 RMM 도구들 (Syncro, SuperOps, NinjaOne 등)
AhnLab SEcurity intelligence Center(ASEC)은 최근 Syncro, SuperOps, NinjaOne, ScreenConnect 등 RMM 도구들을 악용한 공격 사례를 확인하였다. 공격자는 PDF 파일을 유포하였으며 이를 통해 사용자가 구글 드라이브 등을 위장한 유포 페이지에서 RMM 도구를 다운로드해 실행하도록 유도하였다. 악성코드 서명에 사용된 인증서를 보면 공격자는 적어도 2025년 10월부터 유사한 공격을 수행해 온 것으로 보인다.
Ransom & Dark Web Issues 2026년 1월 1주차
ASEC Blog를 통해 한 주간의 ‘Ransom & Dark Web Issues’ – 2026년 1월 1주차를 게시한다. 대한민국의 한 대학교 홈페이지 데이터, DarkForums에서 공유 사우디아라비아의 고용 플랫폼 데이터, BreachForums와 DarkForums에서 판매 랜섬웨어 그룹 Vect의 최근 보안 이슈
