국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례
AhnLab SEcurity intelligence Center(ASEC)은 국내 웹 서버 대상으로 불법 도박 광고 사이트 연결을 유도하는 악성코드 유포 정황을 확인하였다. 공격자는 부적절하게 관리되고 있는 국내의 윈도우 IIS(Internet Information Services) 웹 서버 최초 침투 이후 미터프리터 백도어, 포트 포워딩 도구, IIS 모듈 악성코드 도구 설치 및 ProcDump를 이용한 서버의 자격 증명 정보를 탈취하였다.
온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기
스캠 기술의 발달로 이제는 화면만으로 진위를 판별하는 것이 매우 어려운 일이 되었다. 예전에는 스캐머들이 제작한 사칭 웹사이트나 이메일에서 로고 크기, 레이아웃, 문구, 도메인 등 원본과 다른 부분들이 종종 발견되어 주의 깊게 관찰한다면 가짜임을 식별할 수 있는 경우가 있었다. 그러나 최근의 스캐머들은 실제 웹사이트나 이메일과 거의 동일한 수준의 정교한 디자인과 콘텐츠를 제작해
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장)
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 국가정보 아카데미 8기 통합과정 수료증(최종본).lnk Gate access roster 2024.lnk 동북공정(미국의회조사국(CRS Report).lnk 설비목록.lnk 확인된 LNK 파일은
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어)
AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky
Electron으로 제작되어 유포되는 인포스틸러
AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 배포되는데, 공격자는 이를 악성코드에 적용한 것이다. [1] 사례 #1 악성코드를 실행하면
국내 포털 로그인 페이지로 위장한 피싱 사례
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 포털 사이트의 로그인 화면과 동일한 피싱 파일의 유포를 확인하였다. 과거부터 다수의 국내 포털 사이트/운송, 물류업 브랜드/웹메일 로그인 페이지를 위장한 사례는 매우 빈번하게 확인되어왔다. * 본문에서 비교자료로 사용한 좌/우 그림은, (좌측) 피싱페이지 (우측) 정상페이지 를 나타낸다. 위의 [그림 1]은 네이버 로그인 페이지를 위장한 피싱
리눅스 시스템 공격에 사용되는 Pupy RAT 분석
Pupy는 RAT 악성코드로서 크로스 플랫폼을 지원하는 것이 특징이다. 깃허브에 공개된 오픈 소스이다 보니 APT 그룹을 포함하여 다양한 공격자들에 의해 지속적으로 사용되고 있다. 예를 들어 과거 이란과 관련 있는 것으로 알려진 APT35 그룹이 사용한 것으로 알려져 있으며 [1] 온라인 도박 사이트들을 대상으로 한 Operation Earth Berberoka에서도 [2] 사용된 바 있다. 최근에는
“니가 왜 거기서 나와” Notepad++ plugin을 변조한 package 악성코드 (WikiLoader)
AhnLab SEcurity intelligence Center(ASEC)은 최근 Notepad++의 기본 plugin인 “mimeTools.dll”가 변조되어 유포된 정황을 확인했다. 해당 악성 mimeTools.dll 파일은 특정 버전의 Notepad++ package 설치 파일에 포함되어 정상적인 package 파일인 것처럼 위장하였다. mimeTools는 아래 이미지와 같이 Base64등의 인코딩 기능을 수행하는 모듈이며, 사용자가 별도로 추가하지 않아도 기본적으로 포함되어 있다. mimeTools.dll은 notepad++의 기본plugin인 만큼, notepad++을
Redis 서버를 통해 설치되는 메타스플로잇 미터프리터
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 Redis 서비스를 통해 메타스플로잇의 미터프리터 백도어 악성코드가 설치 중인 것을 확인하였다. Redis는 Remote Dictionary Server의 약자로서 오픈 소스 In-memory 데이터 구조 저장소이자 데이터베이스이다. 공격자는 부적절한 설정을 악용하였거나 취약점 공격을 통해 명령을 실행한 것으로 추정된다. Redis는 주로 캐싱, 세션 관리, 메시지 브로커, 대기열 등 다양한
유튜브 계정들을 해킹해 인포스틸러를 유포하는 공격자들 (Vidar, LummaC2)
AhnLab SEcurity intelligence Center(ASEC)은 최근 공격자들이 악성코드 유포를 목적으로 유튜브를 활용하고 있는 사례가 증가하고 있는 것을 확인하였다. 공격자들은 단순하게 유튜브 계정을 만들고 악성코드를 유포하는 것이 아닌 이미 존재하는 유명 유튜브 계정들을 탈취해 악성코드를 유포하고 있다. 확인된 사례들 중에는 구독자가 80만 명이 넘는 경우도 존재한다. 유튜브를 악용하는 공격자들은 주로 인포스틸러를 유포하고
