링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다. RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해
ASEC 주간 피싱 이메일 위협 트렌드 (20230409 ~ 20230415)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 09일부터 04월 15일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용
Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드
Log4Shell 취약점 공격으로 코인 마이너를 설치하는 8220 Gang 공격 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 8220 Gang 공격 그룹이 VMware Horizon 서버에 대한 Log4Shell 취약점을 이용해 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격 대상으로 확인된 시스템들 중에는 국내 에너지 관련 기업도 존재하며 취약점이 패치되지 않은 취약한 시스템을 운영하고 있음에 따라 다수의 공격자들의 공격 대상이 되고 있다. Log4Shell(CVE-2021-44228)은 자바
BlackBit 랜섬웨어 국내 유포 중
AhnLab Security Emergency response Center(ASEC)에서는 모니터링 중 svchost.exe로 위장한 BlackBit 랜섬웨어가 유포중인 것을 확인하였다. ASEC 내부 인프라를 통해 확인한 결과, BlackBit 랜섬웨어는 작년 9월경부터 유포되기 시작하여 현재까지 유포되고 있는 것으로 확인되었다. BlackBit 랜섬웨어는 닷넷 리액터를 활용하여 코드 난독화가 되어있는데, 이러한 형태는 분석을 방해하기 위함으로 추정된다. 실제 동작하는 랜섬웨어는 LokiLocker 랜섬웨어와
ASEC 주간 피싱 이메일 위협 트렌드 (20230402 ~ 20230408)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 02일부터 04월 08일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
MS-SQL 서버를 공격 중인 Trigona 랜섬웨어
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Trigona 랜섬웨어가 설치되고 있는 것을 확인하였다. Trigona는 상대적으로 최근이라고 할 수 있는 2022년 10월 최초로 확인된 랜섬웨어로서 최근 Unit 42에서도 CryLock 랜섬웨어와의 유사성을 바탕으로 보고서를 공개한 바 있다. [1] 1. 부적절하게 관리되고 있는 MS-SQL 서버 부적절하게 관리되고
변조 Q-Dir 로 공격한 Tick 그룹의 추가 활동과 Operation Triple Tiang과의 관계
2023월 3월 Eset은 동아시아 DLP 제작 업체에서 발견된 악성코드를 분석해 Tick 그룹의 소행이라고 밝혔다. Tick 그룹은 2014년 이후 주로 한국, 일본 지역에서 활동하며 우주항공, 군, 방위산업, 중공업, 전자, 통신, 정부 기관, 외교 등의 분야를 공격하고 있다. AhnLab Security Emergency response Center (ASEC)은 이 그룹의 추가 활동을 확인해 공개한다. *
이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중
AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.뱅킹형 악성코드로 알려진 Qakbot은 다양한 매개체를 통해 지속적으로 유포되고 있는 악성코드 중 하나이며, ASEC에서는 기존에도 해당 악성코드의 유포동향을 소개해 온 바 있다. 유포되는 이메일은 다음과 같이 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한
ASEC 주간 피싱 이메일 위협 트렌드 (20230326 ~ 20230401)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 03월 26일부터 04월 01일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
