MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능
AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이
Nevada 랜섬웨어 국내 유포 중
AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트 내에 지불을 위한 Tor 브라우저 링크가 존재한다. 1. Nevada 랜섬웨어 주요
리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다.
패스워드 파일로 위장하여 유포 중인 악성코드
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로
ASEC 주간 피싱 이메일 위협 트렌드 (20230226 ~ 20230304)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 02월 26일부터 03월 04일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
Mallox 랜섬웨어 국내 유포 중
ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 Mallox 랜섬웨어가 유포중인 것을 확인하였다. 이전에도 소개된 바와 같이 취약한 MS-SQL 서버를 대상으로 유포되는 Mallox 랜섬웨어는 자사 통계 기준으로 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있다. DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 [그림 3]과 같이 특정 주소로
대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
ASEC(AhnLab Security Emergency response Center)은 최근 Kimsuky 그룹에서 제작한 것으로 추정되는 CHM 악성코드를 확인하였다. 해당 악성코드 유형은 아래 ASEC 블로그 및 Kimsuky 그룹 유포 악성코드 분석 보고서에서 소개한 악성코드와 동일하며 사용자 정보 유출을 목적으로 한다. Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 –
MS-SQL 서버를 대상으로 하는 Netcat 공격 사례 (LOLBins)
ASEC(AhnLab Security Emergency response Center)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Netcat 악성코드가 유포되고 있는 것을 확인하였다. Netcat은 TCP / UDP 프로토콜로 연결된 네트워크 상에서 특정 대상과 데이터를 송수신하게 해주는 유틸리티이다. 리눅스뿐만 아니라 윈도우 환경에서도 사용 가능하며, 다양한 기능들을 제공하기 때문에 네트워크 관리자뿐만 아니라 공격자들에 의해서도 다양하게 사용되고 있다.
취약점 공격으로 유포 중인 PlugX 악성코드
ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin RCE 취약점을 통해
ASEC 주간 피싱 이메일 위협 트렌드 (20230219 ~ 20230225)
ASEC에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 02월 19일부터 02월 25일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인
