스페인 사용자들을 대상으로 유포 중인 StrelaStealer
AhnLab Security Emergency response Center(ASEC) 에서는 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 StrelaStealer 가 유포 중인 것을 확인하였다. StrelaStealer 악성코드는 지난 2022년 11월경 처음 발견되었으며, 스팸 메일의 첨부 파일을 통해 유포되고 있다. 첨부 파일에는 ISO 파일이 이용되어 왔으나, 최근에는 ZIP 파일을 이용하고 있다. 유포 중인 이메일은 [그림 1] 과 같다.
취약한 윈도우 IIS 웹 서버를 노리는 Lazarus 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD)
스팸 메일로 유포 중인 DarkCloud 인포스틸러
ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다. 1. 유포 방식 공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다. 해당 메일은
Kimsuky 그룹의 대북 종사자 대상 피싱 공격
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다. ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버[1]/카카오[2]의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른
MS-SQL 서버의 sqlps.exe 유틸리티 악용한 Remcos RAT 유포
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Remcos RAT가 설치되고 있는 것을 확인하였다. 이와 같은 사례는 2022년 2월 자사 블로그를 통해 공유한 이력이 있다. 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT 이번 사례는 당시 유포 방식과 다르게 공격자가 sqlps를 유포에 활용하고 있음을 확인 했다. sqlps 는
ASEC 주간 피싱 이메일 위협 트렌드 (20230430 ~ 20230506)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 30일부터 05월 06일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
일본 사용자들을 대상으로 유포 중인 인포스틸러
ASEC(AhnLab Security Emergency response Center)에서는 최근 일본 사용자들을 대상으로 성인 게임을 위장한 정보 탈취형 악성코드가 유포 중인 것을 확인하였다. 유포 경로는 확인되지 않지만 성인 게임이기 때문에 토렌트나 불법 공유 사이트를 통해 유포되고 있는 것으로 추정된다. 성인 게임을 위장하여 악성코드를 유포하는 방식은 국내에서도 자주 사용되는 방식이다. 공격자는 알려진 악성코드 대신 직접
BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중
AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다. LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장 동일 난독화 도구 사용 (닷넷 리액터) 작업스케줄러 및 레지스트리 등록 (악성코드 지속성) 랜섬노트 및
ASEC 주간 피싱 이메일 위협 트렌드 (20230423 ~ 20230429)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 23일부터 04월 29일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
