온라인 스캠: 그저 쉽고 빠르게 돈을 벌고 싶었다
오늘날의 온라인 금융 투자 사기는 특정 국가에 국한된 문제 수준을 넘어선 범국가적 사회 문제이다. 스캐머(범죄자)는 불법적이고 부도덕한 방법으로 피해자를 속이고 현금이나 가상자산을 비롯한 금융 자산을 편취한다. 이들은 대부분 조직화된 범죄 집단으로서 정교한 시나리오를 구성하고 ‘초국가적’ 사기 범죄를 저지른다. 그 누구라도 스캐머의 전문 기술과 자연스러운 상황 유도에 속아 피해자가 될 수
그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 (MDS 제품 탐지)
최근 AhnLab SEcurity intelligence Center(ASEC) 에서는 그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 유포를 확인했다. 공격자는 실제 사이트와 유사하게 만든 가짜 사이트를 만들고, 검색 엔진의 광고 기능을 이용해 사용자들에게 노출시켜 유포했다. 검색 엔진의 광고 기능을 이용한 악성코드 유포는 최근 ASEC 블로그 ‘“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포’
“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 구글 광고 추적 기능을 활용하여 악성코드가 유포되고 있는 정황을 포착했다. 확인된 사례로 Notion, Slack 과 같이 많은 사람들이 사용하는 그룹웨어 설치 프로그램으로 위장한 악성코드가 유포됐다. 유포된 악성코드는 공격자의 서버로부터 악성 파일 및 페이로드를 다운로드하며, 확인된 파일 이름은 아래와 같다. Notion_software_x64_.exe Slack_software_x64_.exe Trello_software_x64_.exe GoodNotes_software_x64_32.exe 해당
국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다. 비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의
설치파일 위장 정보탈취 악성코드 주의
설치파일(Installer)로 위장한 StealC 악성코드가 대량 유포 중이다. Discord, GitHub, Dropbox 등에서 다운로드 되는 것으로 확인되며, 그간 비슷한 방식의 유포 사례로 보아 특정 프로그램 다운로드 페이지로 위장한 악성 페이지에서 여러 리디렉션을 거쳐 다운로드 URL로 연결될 것으로 추정된다. StealC 악성코드는 정보탈취형 악성코드로, 시스템 정보, 브라우저, 가상화폐 지갑, 디스코드, 텔레그램, 메일 클라이언트 등
AhnLab EDR을 활용한 웹 브라우저 계정 정보 탈취 악성코드 탐지
웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다
복호화 키를 포함한 CryptoWire 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 2018년 유행하던 오픈 소스 기반으로 제작된 CryptoWire 랜섬웨어가 최근에도 유포중인 것을 확인하였다. CryptoWire 랜섬웨어는 주로 피싱 메일을 통해 유포되며, Autoit 스크립트로 제작된 것이 특징이다. 주요기능 해당 랜섬웨어는 “C\Program Files\Common Files” 경로에 자가 복제를 하고, 지속성 유지를 위해 작업 스케줄러를 등록한다. 파일 암호화의 확장을 위해서 로컬과 연결된
온라인 스캠: 협박과 농간 그리고 피해자
성 착취 스캠(Sextortion scams)은 사생활 폭로를 빌미로 피해자에게 엄청난 심리적 압박을 하고, 이들을 협박하여 돈을 갈취하는 사기 범죄다. 피해자는 당장 금전적인 손해를 입는 것 외에 심리적으로도 큰 충격과 공포를 느낀다. 일부 피해자는 정상적인 생활이 불가능할 정도의 고통을 겪기도 한다. 내용 단순 거짓말과 협박 몸캠피싱, 개인의 사생활을 인질로 삼다 접근 방법
국내 자산 관리 솔루션을 악용하여 공격 중인 Andariel 그룹 (MeshAgent)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Andariel 그룹이 국내 기업들을 대상으로 지속적인 공격을 수행 중인 것을 확인하였다. 이번에 확인된 공격의 특징이라고 한다면 공격 과정에서 MeshAgent를 설치한 사례가 확인되었다는 점이다. MeshAgent는 원격 관리 도구로서 원격 제어를 위한 다양한 기능들을 제공하기 때문에 다른 원격 관리 도구들처럼 공격자들이 악용하는 사례들이 자주 확인된다. 공격자는 이전
AhnLab EDR을 활용한 방어 회피 기법 탐지
일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우
