안랩과 국가사이버안보센터(NCSC), 합동 보고서 배포 및 Microsoft 브라우저 0-DAY 발견 (CVE-2024-38178)
안랩 ASEC(AhnLab SEcurity intelligence Center) 분석팀과 국가사이버안보센터(NCSC, National Cyber Security Center, 이하 ‘NCSC’ ) 합동분석협의체에서 Microsoft Internet Explorer(이하 ‘IE’) 브라우저의 새로운 제로데이를 발견하고, 해당 취약점을 이용한 공격을 상세 분석하였다. 본 게시글을 통해 ASEC과 NCSC 합동분석협의체에서 함께 분석하고 대응한 내용을 담은 합동 분석 보고서(‘Operation Code on Toast by TA-RedAnt‘)를 공개한다.
Jenkins 취약점 노출 국내 서버 현황 (CVE-2024-23897, CVE-2024-43044)
전 세계적으로 널리 사용되는 개발 도구인 Jenkins 제품에 대한 다수의 취약점이 발표되었으며 그중 일부 취약점이 실제 공격에 악용되고 있다. 또한 국내 Jenkins 서버 대다수가 취약점에 노출된 것으로 확인되었다. 올해 초 공개된 CVE-2024-23897 취약점은 인증되지 않은 사용자가 Jenkins 서버 시스템의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.8의 위험도가 매우
ViewState를 악용한 Godzilla WebShell 유포 (금융권 대상)
개요 AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 취약한 환경 설정으로 ASP.NET를 운영 중인 금융권 대상의 공격 정황을 확인하였다. ASP.NET에서 지원하는 ViewState 기능은 ASP.NET 모듈에서 직렬화 및 역직렬화 과정을 통해 데이터를 처리한다. 공격자는 이 과정을 악용하여 공격 대상 PC에 WebShell을 설치하였다. 해당 WebShell 악성코드는 분석 결과 Godzilla WebShell 악성코드로 확인되었다. Godzilla
HFS(HTTP File Server) 서버 대상 공격 사례 (CVE-2024-23692 추정)
HFS(HTTP File Server)는 단순한 형태의 웹 서비스를 제공해 주는 프로그램이다. 직접 웹 서버를 구축할 필요 없이 실행 파일만으로 웹 서비스를 제공할 수 있기 때문에 파일 공유 목적으로 자주 사용되며 사용자들 또한 웹 브라우저를 통해 주소에 접속해 파일을 쉽게 다운로드할 수 있다. HFS를 사용할 경우 사용자들이 HFS 웹 서버에 접속해 파일을
MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky)
AhnLab SEcurity intelligence Center(ASEC) 에서는 Kimsuky 공격 그룹이 최근 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포한 내용을 확인했다. 공격자는 취약점을 사용해 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 키로거 악성코드를 유포했다. mshta로 접속하는 페이지는 실제 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 로 “error.php” 파일명을 사용한다. 사용자는 [그림 2]처럼 “Not
Microsoft Windows의 보안 업데이트 권고 (CVE-2024-21338)
개요 2024년 2월 13일 Microsoft에서는 윈도우 커널 권한 상승 취약성(Windows Kernel Elevation of Privilege Vulnerability) CVE-2024-21338 패치를 발표하였다. 해당 취약성은 윈도우 기능인 AppLocker의 드라이버로 알려진 “appid.sys”의 특정 IOCTL에서 발생한다. 공격자는 취약성을 악용하여 임의의 커널 메모리 영역에 읽기/쓰기를 수행할 수 있으며 공격자의 의도에 따라 보안 제품을 무력화하거나 시스템 권한 획득이 가능하다.
취약점 공격으로 설치되는 Mimo 코인 마이너 with Mimus 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 Mimo라고 불리는 코인 마이너 공격자가 다양한 취약점을 공격하여 악성코드들을 설치하고 있는 정황을 확인하였다. Mimo는 Hezb라고도 불리며 2022년 3월경에 Log4Shell 취약점 공격을 통해 코인 마이너 악성코드를 설치하고 있는 사례가 최초로 확인되었다. 지금까지 알려진 공격 사례는 모두 최종적으로 Mimo Miner Bot이라고 하는 XMRig 코인 마이너를 설치하는 공격이었다.
지속적인 공격 대상이 되고 있는 Apache ActiveMQ 취약점 (CVE-2023-46604)
AhnLab Security Emergency response Center(ASEC)은 2023년 11월에 “Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황” [1] 블로그 포스팅을 통해 Andariel 위협 그룹이 CVE-2023-46604 취약점을 공격해 악성코드를 설치한 사례를 공개한 바 있다. 해당 포스팅에서는 Andariel 그룹의 공격 사례 외에도 HelloKitty 랜섬웨어, 코발트 스트라이크, 메타스플로잇 미터프리터 공격 사례를 함께 언급하였다. Apache ActiveMQ
Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황
AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져
Cisco IOS XE Software Web UI 취약점 주의 (CVE-2023-20198, CVE-2023-20273)
개요 이달, Cisco는 실제 공격에 활발히 악용되고 있는 두 취약점 CVE-2023-20198, CVE-2023-20273에 대한 보안 권고를 발표하였다. 취약점은 Cisco IOS XE Software의 Web UI에서 발생한다. CVE-2023-20198 취약점은 인증되지 않은 공격자가 가장 높은 수준의 접근 권한인 레벨 15 권한의 임의의 계정을 생성하여 시스템을 제어할 수 있으며, CVE-2023-20273 취약점은 명령어 주입을 수행하여 악의적인
