.NET 설치 파일로 위장한 RecordBreaker 정보탈취 악성코드
크랙으로 위장하여 유포 중인 악성코드가 진화하고 있다. 과거에는 단순하게 악성코드 실행 파일 자체를 유포했다면, 압축 파일 내부에 정상 파일들을 포함하기 시작했고, 최근에는 정상 인스톨러를 다운로드 후 실행하는 샘플이 등장하였다. 일반적인 사용자 환경에서 악성코드를 실행할 경우 공격자의 서버로부터 암호화된 악성코드 파일을 다운로드 후 실행하며, 해당 악성코드는 정보 탈취 기능의 RecordBreaker Stealer
ASEC 주간 악성코드 통계 (20230605 ~ 20230611)
ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 6월 5일 월요일부터 6월 11일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 44.6%로 1위를 차지하였으며, 그 다음으로는 다운로더가 43.9%, 이어서 백도어 9.5%, 랜섬웨어가 2.0%로
리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 Tsunami DDoS Bot을 설치하고 있는 공격 캠페인을 확인하였다. 공격자는 Tsunami뿐만 아니라 ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드들을 설치하였다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너
개인을 도청하는 RedEyes 그룹 (APT37)
1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및
보안 업데이트 설치 프로그램으로 위장한 악성코드 유포 주의
안랩에서는 국가사이버안보센터(NCSC) 합동분석협의체와 함께 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하였다. 발견된 악성코드는 보안 업데이트 설치 프로그램으로 위장하였으며 다음과 같이 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작되었다. [그림 1] Security Upgrade로 위장한 설치 프로그램 이노 셋업(Inno Setup) JrSfoftware사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는
특정 홈페이지 제작 업체가 제작한 국내 다수의 홈페이지 피해 확인
AhnLab Security Emergency response Center(ASEC)에서는 국내 홈페이지 제작업체가 제작한 홈페이지를 타겟으로 공격하여 악성코드 유포에 활용하는 정황이 확인되었다. 특정 홈페이지 제작업체는 제조, 무역, 전기, 전자, 교육, 건설, 의료, 여행 등의 다양한 회사를 대상으로 홈페이지를 제작한 업체다. 침해당한 홈페이지는 악성코드 유포에 활용되며, 웹쉘을 통해 탈취한 정보를 전송하는 등의 기능을 수행한다. 해당 공격
ASEC 주간 피싱 이메일 위협 트렌드 (20230528 ~ 20230603)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 28일부터 06월 03일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
국내 금융 보안 솔루션의 취약점을 이용하는 Lazarus 공격 그룹
Lazarus 공격 그룹은 이전 ASEC 블로그에서도 소개했던 바와 같이 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 활용하고 있다. INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18) BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24) ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던
ASEC 주간 악성코드 통계 (20230529 ~ 20230604)
ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 29일 월요일부터 6월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 40.1%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 39.5%, 이어서 백도어 13.6%, 코인마이너가 4.1%,
ASEC 주간 피싱 이메일 위협 트렌드 (20230521 ~ 20230527)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 21일부터 05월 27일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로
