메신저 프로그램으로 위장한 악성코드 주의
악성코드

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 그림 1. 피싱 페이지 (1) 그림 2. 피싱 페이지 (2) 그림 3. 공급망 공격 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치

  • 12월 31 2021
ASEC 주간 악성코드 통계 ( 20211220 ~ 20211226 )
위협 통계

ASEC 주간 악성코드 통계 ( 20211220 ~ 20211226 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 20일 월요일부터 2021년 12월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 51.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 36.3%, 다운로더가 8.1%, 코인마이너가

  • 12월 27 2021
대북 관련 한글문서(HWP) 유포 중
APT 악성코드

대북 관련 한글문서(HWP) 유포 중

ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체

  • 12월 24 2021
“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드
악성코드

“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드

ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을

  • 12월 23 2021
V3 네트워크 탐지 기능에 의한 Log4j 취약점(CVE-2021-44228) 탐지
EndPoint 취약점

V3 네트워크 탐지 기능에 의한 Log4j 취약점(CVE-2021-44228) 탐지

지난 2021년 12월 10일 Apache Log4j 취약점(CVE-2021-44228)이 공개됨에 따라 Github에 다양한 POC가 업로드되었다. Log4j 취약점은 공격자가 로그 메시지에 악성 클래스 주소를 삽입하여 웹서버에 공격자가 제작한 악성 클래스를 실행 시킬 수 있어 파급력이 크다. 안랩에서는 Log4j 취약점 공격을 탐지하기 위해 네트워크 차단 시그니처를 업데이트 하였으며 아래에서 Log4j 취약점 설명 및 V3

  • 12월 22 2021
ASEC 주간 악성코드 통계 ( 20211213 ~ 20211219 )
위협 통계

ASEC 주간 악성코드 통계 ( 20211213 ~ 20211219 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 13일 월요일부터 2021년 12월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.0%, 다운로더가 7.5%, 코인마이너가

  • 12월 22 2021
Kimsuky 그룹의 APT 공격사례 (PebbleDash)
APT

Kimsuky 그룹의 APT 공격사례 (PebbleDash)

최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다. PebbleDash 백도어 공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축

  • 12월 21 2021
[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0
취약점

[공지] Log4j 신규 취약점 (CVE-2021-45105) – Log4j 2.17.0

2021년 12월 18일 Log4j 2.16.0 버전에서 동작하는 CVE-2021-45105 취약점이 추가로 공개되었다. (CVSS 7.5) 1. 취약한 제품 버전 Log4j 2.0-beta9 ~ 2.16.0 버전 2. 취약점 공격 기법 취약점 공격은 Log4j를 사용하는 응용 프로그램에서 layout pattern 과 쓰레드 컨텍스트 기능이 사용되는 경우 발생할 수 있다. 취약한 환경과 이 환경을 공격하는 기법은 다음과

  • 12월 19 2021
[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core
취약점

[안내] Apache Log4j 취약점 CVE-2021-44228 영향을 받는 Log4j Core

안랩은 Apache Log4j 취약점 보안 업데이트를 권고하고 있다. Apache Log4j 취약점 정보 취약점 Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 원격 코드 실행이 가능한 취약점 (CVE-2021-44228, CVSS 10.0) [1] Log4j 2.x 버전에서 공격자가 로그 메세지를 통해 서비스 거부 오류(Denied of Service)를 발생시킬 수 있는 취약점 (CVE-2021-45046, CVSS 3.7) [2] Log4j

  • 12월 17 2021
Apache Log4j 2 취약점 주의 및 업데이트 권고
취약점

Apache Log4j 2 취약점 주의 및 업데이트 권고

  Apache Log4j 2 취약점(CVE-2021-44228)이 2021년 12월 10일 POC와 함께 트윗 및 Github에 공개되었다. 해당 취약점은 Log4j 소프트웨어의 원격 코드 실행(RCE) 취약점으로 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있다. 이는 알리바바의 클라우드 보안팀이 2021년 11월 24 일에 Apache 소프트웨어 재단에 최초 보고하였으며, 첫 패치는 2021년

  • 12월 15 2021