이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer
이력서를 사칭하여 유포하는 방식은 LockBit 랜섬웨어의 대표적인 유포 경로이다. 이와 관련된 내용은 올해 2월 ASEC 블로그를 통해 공유된 바가 있으며,[1] 최근에는 LockBit 랜섬웨어만 유포되던 것과 다르게 정보 탈취형 악성코드를 포함하여 유포 중인 정황을 확인하였다.[2] ‘이력서16.egg’ 내부에는 PDF파일을 위장한 LockBit 랜섬웨어(좌)와 PPT파일을 위장한 Vidar 인포스틸러(우)가 존재하였다. 실행되는 랜섬웨어는 LockBit 3.0 버전으로
취약한 RDP를 통해 유포되는 Phobos 랜섬웨어 주의
ASEC(AhnLab Security Emergency response Center)은 최근 Phobos 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. Phobos 랜섬웨어는 Dharma, CrySis 랜섬웨어와 기술 및 운영상의 유사점을 공유하는 변종 형태로 알려진 랜섬웨어로 알려져있다. 이들은 일반적으로 외부에 노출된 보안이 취약한 RDP 서비스를 공격 벡터로하여 유포되는 특징이 있으며, 이와 같이 보안이 취약한 RDP를 Initial Access로 활용한 랜섬웨어
악성코드 패키지 다운로드하는 Phishing형 PDF
AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다. Far-Cry-3-Multiplayer-Crack-Fix.pdf
![[Kimsuky] Operation Covert Stalker](https://asec.ahnlab.com/wp-content/uploads/2023/08/08_target-attack_02.png)
[Kimsuky] Operation Covert Stalker
안랩은 2022년 04월 29일 금요일 퇴근 무렵 “북한 4.25 열병식 관련 내용의 악성 워드 문서 유포”라는 제목의 분석 정보를 ASEC블로그에 공개한 적이 있습니다. [+] 열병식 내용으로 위장한 악성코드 분석 정보: https://asec.ahnlab.com/ko/33878 본 보고서는 위 분석 정보에 설명된 주요 특징(C2, 웹쉘 등)과 유사한 패턴을 가진 Kimsuky 조직의 해킹 활동(C2 운영, 관리, 해킹
