RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지
원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한
수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 수입신고서_날인.jse 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일
개인정보 판매를 미끼로한 악성코드 유포 정황 확인
AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다. [그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’,
Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황
AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져
CobaltStrike를 이용한 아파치 웹 서버 대상 크립토재킹 공격 캠페인
AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. 윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치
기업 홍보물 제작을 위장한 악성 LNK 유포
최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드 URLhxxps://file.lgclouds001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.ziphxxps://file.ssdrive001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.zip 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로,
자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹)
ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다. Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도
공공기관을 사칭하여 유포 중인 악성코드 주의(LNK)
AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한
정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지
AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 포메리움 프로젝트 관련 문의 자료.txt.lnk 23년 iris 협약 전 변경 신청 관련
MySQL 서버를 공격 중인 Ddostf DDoS Bot 악성코드
ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. MySQL은 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 데이터베이스 서비스를 위해 주로 MS-SQL을 설치하며 리눅스 환경에서는 MySQL, PostgreSQL 등의 데이터베이스 서비스가 사용된다. 하지만 MySQL과 같은 DBMS 서비스는 윈도우 환경도 지원하기 때문에 MS-SQL
