메일을 통해 유포되는 NetSupport 악성코드
NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일 및 피싱 페이지에서 유포 통해 유포되고 있다. 피싱 페이지에서의 유포 사례는 이전 블로그를 통해 소개된 바 있다. [1] AhnLab Security Emergency response Center(ASEC)은 최근 유포된 스피어 피싱 메일에서 NetSupport RAT가
문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)
ASEC(AhnLab Security Emergency response Center)은 배치 파일(*.bat) 형태의 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 사용자 환경에 설치된 자사 제품을 포함한 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파리미터 등을 보아 Kimsuky 그룹에서 유포한 것으로 추정된다. 악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로
크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도
ASEC 주간 피싱 이메일 위협 트렌드 (20230611 ~ 20230617)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 06월 11일부터 06월 17일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자
ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로
DNS TXT 레코드를 활용한 악성코드 실행방법
AhnLab Security Emergency response Center(ASEC)에서는 악성코드를 실행하는 과정에서 DNS TXT 레코드를 활용하는 정황을 확인하였다. 이러한 방식은 기존에 악성코드 실행방법으로 널리 활용되지 않았기 때문에 분석/탐지를 비롯한 여러 관점에서 유의미하다고 보여진다. DNS TXT 레코드는 도메인 관리자가 DNS에 텍스트를 입력할 수 있는 기능이다. 원래는 사람이 읽을 수 있는 메모를 기입하기 위한 목적이었으나, 현재
ASEC 주간 피싱 이메일 위협 트렌드 (20230604 ~ 20230610)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 06월 04일부터 06월 10일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky
AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고
한글 문서 파일을 위장한 악성코드(Kimsuky)
AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다. Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20 사례비 지급 내용으로 위장한
MS-SQL 서버를 공격 중인 BAT 파일 확장자 랜섬웨어 분석(Mallox)
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT파일 확장자의 Mallox 랜섬웨어가 유포되고 있는 것을 확인하였다. 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 유포되는 파일 형태가 EXE 파일 확장자와 더불어 Fileless형태인 BAT 파일 확장자도 사용되고 있다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 Remcos RAT 와 Mallox 랜섬웨가
