스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다. 1. 개요 RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로 개인 PC 정보 뿐만 아니라 휴대전화 데이터까지 탈취하는
EDR을 활용한 Magniber 랜섬웨어 유포지 추적
안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. Magniber 랜섬웨어 국내 유포 재개(1/28) 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를
북한 랜섬웨어 한미 합동 사이버보안 권고 관련 안랩 대응 현황
2월 10일 오늘 한미 정보기관이 북한발 랜섬웨어 공격과 관련한 보안 권고문을 발표하였다. 대한민국 국가정보원과 미국 국가안보국(NSA)·연방수사국(FBI)·사이버인프라보안청(CISA)·보건복지부(HHS)이 함께 북한발 사이버 공격에 대한 실태를 알리고, 랜섬웨어로부터 한미 양국을 보호하기 위한 최초의 합동 보고서이다. 제목: 랜섬웨어 공격을 통한 북한의 금전 탈취 수법 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 미국 사이버인프라보안청 (CISA) 바로가기 한미
ASEC 주간 피싱 이메일 위협 트렌드 (20230129 ~ 20230204)
ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 29일부터 02월 04일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의
디스코드 Nitro 코드 생성기를 위장하여 유포 중인 PYbot DDoS 악성코드
공격자들이 악성코드를 유포하는 방식들 중에는 대표적으로 크랙과 같은 불법 소프트웨어를 위장한 사이트를 이용하는 방식이 있다. 공격자가 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장하여 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다. ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을
원노트(OneNote)로 유포 중인 Qakbot 악성코드
안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서 – ASEC BLOG 본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고, 파일을 실제 실행했을 때의 화면을
정상 문서로 위장한 악성코드(kimsuky)
ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과
LockBit 2.0 랜섬웨어 이력서 위장으로 지속 유포 중
ASEC 분석팀은 이전에 수차례 소개한 Lockbit 2.0 랜섬웨어가 기존에 소개한 방식인 NSIS 형태가 아닌 MalPE 형태로 유포되고 있음을 확인하였다. MalPE 형태는 실제 악성코드의 분석을 방해하는 패킹 방식의 일종이며, 내부 쉘코드를 통해 PE파일을 복호화하여 실행한다. 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 – ASEC BLOG ASEC 분석팀은 이전에 소개한 방식과 동일한
AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어
ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드
네이버 로그인화면으로 위장한 웹페이지
ASEC 분석팀은 지난 1월 3일에 카카오의 로그인 페이지를 위장하여 특정인의 계정 정보를 취하려는 정황에 대해 소개한 바 있다. 카카오 로그인화면으로 위장한 웹페이지 공격자는 취약한 웹사이트를 이용하여 도메인을 생성하였었는데, 동일한 방식으로 네이버의 로그인 페이지를 위장한 내용이 확인되어 이를 알리고자 한다. 네이버 고객센터를 사칭하는 유형의 이메일과 해당 이메일을 통해 계정정보를 탈취하려는 웹페이지는
