ASEC 주간 악성코드 통계 (20230123 ~ 20230129)
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 1월 23일 월요일부터 01월 29일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 44.2%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 34.3%, 이어서 백도어 18.5%, 랜섬웨어 2.6%, 코인마이너 0.4%로 집계되었다.
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인
0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG Contents1. ASP 웹쉘i. ASPXSpy2. 권한 상승2.1. Potato2.2. 취약점 (익스플로잇)3. 프록시 & 포트 포워딩3.1. FRP3.2. HTran(LCX)4.
Magniber 랜섬웨어 국내 유포 재개(1/28)
ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi 현재 매그니베르가 유포되는
Quasar RAT을 유포하는 사설 HTS 프로그램
ASEC 분석팀에서는 최근 사설 홈트레이딩시스템(HTS : Home Trading System)을 통해 Quasar RAT 악성코드가 유포되고 있는 것을 확인하였다. 공격에 사용된 HPlus라는 이름의 HTS는 검색으로 정보를 찾을 수 없다. 또한 설치 과정에서 확인되는 약관에도 업체의 이름이 확인되지 않아 피해자들은 제도권 금융회사에서 제공하는 HTS가 아닌 무인가 또는 위장 금융 투자 업체를 통해 HPlus
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어
다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드
ASEC 주간 피싱 이메일 위협 트렌드 (20230115 ~ 20230121)
ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 15일부터 01월 21일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의
ASEC 주간 악성코드 통계 (20230116 ~ 20230122)
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 1월 16일 월요일부터 01월 22일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.0%로 1위를 차지하였으며, 그 다음으로는 다운로더가 30.6%, 이어서 백도어 19.9%, 랜섬웨어 3.8%, 코인마이너 2.4%, 마지막으로
Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD
Sliver는 Go 언어로 개발된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구들로는 대표적으로 코발트 스트라이크와 Metasploit이 있으며 실제 많은 공격자들이 애용하고 있고 ASEC 블로그에서도 다양한 공격 사례들을 다룬 바 있다. 최근에는 코발트 스트라이크나 Metasploit 외에도 공격자들이 Sliver를 사용하는 사례들이 확인되고 있다. ASEC (AhnLab Security Emergengy response Center) 분석팀은 취약점이 패치되지
ASEC 주간 피싱 이메일 위협 트렌드 (20230108 ~ 20230114)
ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 08일부터 01월 14일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의
정상 한글 문서를 위장한 악성 링크 파일(LNK)
ASEC 분석팀은 정상 한글 문서를 위장한 악성 LNK 파일이 유포되고 있음을 확인하였다. 국세청을 사칭한 텍스트 파일과 함께 유포되고 있으며 관련 내용이 담긴 정상 한글 문서가 실행되어 사용자가 악성 파일임을 인지하기 어렵다. 최종적으로 실행되는 악성 스크립트 파일은 ‘제품소개서로 위장한 악성 워드 문서‘ 에서 소개한 악성스크립트와 동일한 유형으로 확인되며 같은 공격자에 의해
