Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
AhnLab SEcurity intelligence Center(ASEC)은 최근 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 설치하는 새로운 활동을 확인하였다. 이번에 확인된 공격 사례는 기존 사례들과 유사하게 MS-SQL 서버를 대상으로 하며 악성코드 설치 과정에서 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티를 악용했다는 점이 특징이다. Trigona 랜섬웨어 : 적어도 2022년 6월부터 활동한 것으로 알려졌으며 [1] 주로 MS-SQL 서버를
게임핵을 통해 설치되는 XMRig 코인마이너
AhnLab SEcurity intelligence Center(ASEC)은 최근 게임핵을 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이와 같은 과정은 과거에 소개한 웹하드 플랫폼을 활용하여 XMRig 코인마이너를 유포하는 방식과 유사하다. [1] [2] 1. 유포 경로 코인마이너가 유포된 경로는 유명 게임들의 게임핵을 배포하는 사이트로 확인되었으며, 해당 사이트에는 다수의 유명 게임핵을 위장한 압축파일이 업로드 되어 있다. 또한,
국내 IT 기업을 사칭하여 유포되는 VenomRAT(AsyncRAT)
AhnLab SEcurity intelligence Center(ASEC)은 AsyncRAT(VenomRAT)을 다운로드하는 바로 가기 파일(.lnk)을 확인하였다. LNK 파일은 정상 워드 문서로 위장하기 위해 ‘설문조사.docx.lnk’ 파일명으로 정상 텍스트 문서와 함께 압축 파일로 유포되었다. 무엇보다 공격 과정에서 사용된 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 각별한 주의가 필요하다. 악성코드의 전반적인 동작 과정은 다음과 같다. 압축 파일은 사용자의
Autoit을 사용한 Zephyr 코인 마이너 악성코드 유포
AhnLab SEcurity intelligence Center(ASEC) 은 최근 Zephyr 코인 마이너가 유포되는 것을 확인했다. 해당 파일은 Autoit으로 제작되어있으며, 코인마이너가 포함된 압축파일 형태로 유포되고 있다. 유포되는 파일은 “WINDOWS_PY_M3U_EXPLOIT_2024.7z” 이름으로 유포되고 있으며, 압축 해제 시 여러 스크립트와 실행파일이 생성된다. 그 중 “ComboIptvExploit.exe” 파일은 NSIS(Nullsoft Scriptable Install System) 설치파일이며 내부에는 두 개의 자바스크립트 파일이 존재한다.
Lazarus 그룹 DLL-Side Loading 기법 이용 (2)
AhnLab SEcurity intelligence Center(ASEC)은 “Lazarus 그룹 DLL-Side Loading 기법 이용”[1] 블로그를 통해 Lazarus 공격 그룹이 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법을 사용하는 방식들을 다루었다. 여기에서는 추가된 변종 DLL들과 감염 대상 검증 루틴을 다룬다. Lazarus 그룹은 국내 기업, 기관, 싱크탱크와 같은
우크라이나 정부 및 기업을 대상으로 유포되는 SmokeLoader
AhnLab SEcurity intelligence Center(ASEC) 은 우크라이나 정부 및 기업을 대상으로 SmokeLoader 악성코드가 다수 유포 중인 것을 확인하였으며, 최근 우크라이나를 대상으로 한 공격이 증가한 것으로 보여진다. 현재까지 확인된 유포 대상에는 우크라이나의 법무부, 공공기관, 보험, 의료, 건축, 제조 기업이 존재하였다. 유포된 메일은 [그림 1] 과 동일한 형태로, 메일 내용은 우크라이나어로 작성되어 있다.
EDR을 이용한 다양한 LSASS 자격 증명 덤핑 방식들 탐지
AhnLab SEcurity intelligence Center(ASEC)은 “도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지” [1] 블로그를 통해 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 자격 증명 정보를 탈취하는 다양한 방식들을 다루었다. 여기에서는 자격 증명 정보 탈취 방식 중 LSASS 프로세스의 메모리에 저장되어 있는 NT Hash(NTLM 인증 프로토콜에서 사용하는 해시)를
이력서를 사칭한 워드 문서로 유포되는 LockBit 3.0 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 지난 달부터 워드 문서를 통해 LockBit 랜섬웨어가 유포되고 있음을 확인하였다. LockBit 랜섬웨어는 주로 이력서를 사칭하여 유포되는 것이 특징이며, 이번에 확인된 악성 워드 문서 역시 이력서를 사칭하였다.[1] 또한, 워드 문서의 External URL 링크를 활용하는 LockBit 랜섬웨어를 유포 방식은 2022년 최초 확인되었다.[2] 최근 확인된 악성 워드 문서의
취약점 공격으로 설치되는 Mimo 코인 마이너 with Mimus 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 Mimo라고 불리는 코인 마이너 공격자가 다양한 취약점을 공격하여 악성코드들을 설치하고 있는 정황을 확인하였다. Mimo는 Hezb라고도 불리며 2022년 3월경에 Log4Shell 취약점 공격을 통해 코인 마이너 악성코드를 설치하고 있는 사례가 최초로 확인되었다. 지금까지 알려진 공격 사례는 모두 최종적으로 Mimo Miner Bot이라고 하는 XMRig 코인 마이너를 설치하는 공격이었다.
웹하드를 통해 유포 중인 Remcos Rat 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Remcos Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다. 일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나
