중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드
RecordBreaker Stealer는 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드로, 작년 처음 등장하여 일반 사용자를 대상으로 활발하게 유포 중이다. Raccoon Stealer V2 라고도 불리며 웹 사이트, YouTube 등 다양한 채널을 통해 유포되고 있다. 동일 방식으로 활발히 유포되던 CryptBot이 올해 2월 이후로 완전히 자취를 감추고 이따금 Vidar 악성코드가
국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT
AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수
MS-SQL 서버 공격에 사용되는 CLR SqlShell 분석
본 블로그에서는 MS-SQL 서버를 대상으로 하는 공격에 사용되는 CLR SqlShell 악성코드들을 분석한다. SqlShell은 웹 서버에 설치될 수 있는 WebShell과 유사하게 MS-SQL 서버에 설치되어 공격자의 명령을 실행하거나 다양한 악의적인 행위를 수행할 수 있는 기능을 지원하는 악성코드이다. MS-SQL 서버에서는 확장된 기능을 사용할 수 있도록 CLR Stored Procedure라고 하는 방식을 지원하는데, SqlShell은 이러한
ASEC 주간 피싱 이메일 위협 트렌드 (20230416 ~ 20230422)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 16일부터 04월 22일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. 링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft) – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격
EDR을 활용한 3CX 공급망 침해 사고 추적
지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll,
해킹된 유튜브 계정으로 유포 중인 RecordBreaker 스틸러
RecordBreaker는 2022년 새롭게 등장한 인포스틸러 악성코드로서 Raccoon 스틸러의 새로운 버전이라고도 알려져 있다. CryptBot, RedLine, Vidar와 같은 다른 인포스틸러 악성코드들처럼 주로 S/W 크랙 및 인스톨러로 위장하여 유포되는 대표적인 악성코드이다. ASEC(AhnLab Security Emergency response Center)에서는 최근 해킹된 것으로 추정된 유튜브 계정을 통해 RecordBreaker가 유포되고 있는 것을 확인하였다. 1. 과거 유포 사례 검색
OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드
AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다. 원노트(OneNote)로 유포 중인 Qakbot 악성코드 – ASEC BLOG 안랩 ASEC은 지난 1월 마이크로소프트(MS)
리눅스 SSH 서버를 대상으로 유포 중인 코인 마이너 (KONO DIO DA)
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 XMRig 코인 마이너가 설치되고 있는 것을 확인하였다. 공격은 최소한 2022년 경부터 이루어지고 있는 것으로 확인되며 XMRig를 설치할 때 SHC(SHell script Compiler)로 개발한 악성코드가 사용된다는 점과 SSH 백도어 계정을 등록한다는 점이 특징이다. 부적절하게 관리되고 있는 리눅스 SSH 서버를
