Kimsuky 그룹의 APT 공격사례 (PebbleDash)
최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다. PebbleDash 백도어 공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축
![[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0](https://asec.ahnlab.com/wp-content/uploads/2021/12/39_cyber-security_02.png)
[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0
2021년 12월 18일 Log4j 2.16.0 버전에서 동작하는 CVE-2021-45105 취약점이 추가로 공개되었다. (CVSS 7.5) 1. 취약한 제품 버전 Log4j 2.0-beta9 ~ 2.16.0 버전 2. 취약점 공격 기법 취약점 공격은 Log4j를 사용하는 응용 프로그램에서 layout pattern 과 쓰레드 컨텍스트 기능이 사용되는 경우 발생할 수 있다. 취약한 환경과 이 환경을 공격하는 기법은 다음과
![[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core](https://asec.ahnlab.com/wp-content/uploads/2021/12/38_security-alert_01.png)
[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core
안랩은 Apache Log4j 취약점 보안 업데이트를 권고하고 있다. Apache Log4j 취약점 정보 취약점 Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [1] Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45046, CVSS 3.7) [2] Log4j
Apache Log4j 2 취약점 주의 및 업데이트 권고
Apache Log4j 2 취약점(CVE-2021-44228)이 2021년 12월 10일 POC와 함께 트윗 및 Github에 공개되었다. 해당 취약점은 Log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있다. 이는 알리바바의 클라우드 보안팀이 2021년 11월 24 일에 Apache 소프트웨어 재단에 최초 보고하였으며, 첫 패치는 2021년
동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례
ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다. 피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다. [그림 1] 피해 시스템들의 로컬 Administrator
웹 브라우저 자동 로그인 기능에 저장된 계정을 노리는 RedLine Stealer
안랩 ASEC 분석팀은 최근 한 기업의 내부 망 침해 사고 조사에서 기업 망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다. 피해가 발생한 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로
보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드
ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다. FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는
디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드
ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다. 그림1. 워드 문서에 포함된 이미지 그림2. 디자인수정 요청.doc 문서 정보 해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠
국세청 사칭 메일을 통해 Lokibot 악성코드 유포 중
ASEC 분석팀은 최근 홈택스를 사칭한 악성 메일이 꾸준히 유포되고 있음을 확인하였다. 메일 발신인의 주소는 지난해와 마찬가지로 홈택스를 위장한 hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr 이며 본문 내용 역시 전자 세금 계산서 관련 내용이 포함되어 있다. 그림 1. 유포중인 메일1 그림 2. 유포중인 메일2 해당 유형의 메일은 과거부터 꾸준히 유포되고 있으며, 지난해 ‘국세청 ‘전자세금계산서’
더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중
ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다. PPT 파일 실행시, 아래와 같이
