도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지
“도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지” [1] 포스팅에서는 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 내부 네트워크를 정찰하여 정보를 수집하는 과정을 EDR을 활용하여 탐지하는 사례들을 다루었다. 조직의 인프라가 액티브 디렉터리(Active Directory)를 사용하는 환경인 경우 공격자는 내부 정찰 단계를 거쳐 도메인 환경의 정보를 수집하고 자격 증명 정보를 탈취한
도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지
공격자는 초기 침투 과정을 거쳐 코인 마이너나 랜섬웨어를 설치하여 수익을 얻을 수 있지만 백도어 또는 RAT 악성코드를 설치하여 먼저 감염 시스템에 대한 제어를 획득하는 경우가 많다. 인포스틸러 악성코드는 시스템에 존재하는 사용자의 정보들을 탈취하는 것이 목적이지만 이후 공격자가 탈취한 정보를 기반으로 이후 시스템에 대한 제어를 획득하여 최종적으로 코인 마이너나 랜섬웨어를 설치하는
Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
리눅스 SSH 서버를 대상으로 스캐너 악성코드를 설치하는 공격 사례 분석
AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 캠페인들을 분석하여 ASEC 블로그에 공개하고 있다. 공격자들은 DDoS Bot, CoinMiner 등의 악성코드들을 설치하기 이전에 공격 대상에 대한 정보 즉 IP 주소와 SSH 자격 증명 정보를 획득할 필요가 있다. 이를 위해 IP를 스캐닝 하면서 SSH 서비스 즉
지속적인 공격 대상이 되고 있는 Apache ActiveMQ 취약점 (CVE-2023-46604)
AhnLab Security Emergency response Center(ASEC)은 2023년 11월에 “Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황” [1] 블로그 포스팅을 통해 Andariel 위협 그룹이 CVE-2023-46604 취약점을 공격해 악성코드를 설치한 사례를 공개한 바 있다. 해당 포스팅에서는 Andariel 그룹의 공격 사례 외에도 HelloKitty 랜섬웨어, 코발트 스트라이크, 메타스플로잇 미터프리터 공격 사례를 함께 언급하였다. Apache ActiveMQ
원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지
원격 제어 도구는 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 코로나와 같은 환경에서 재택근무 솔루션으로서도 활용이 가능하며 무인 단말기를 원격에서 제어, 관리 및 보수하는 용도로도 활용된다. 이렇게 정상적인 관리 목적으로 사용하는 원격 제어 도구를 RAT 즉 “Remote Administration Tool”라고 부른다. 참고로 Remcos RAT이나 njRAT, Quasar RAT, AveMaria와 같이 원격에서 감염
개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni)
AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다.
AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey)
개요초기 침투 방식…. 2.1. 스피어 피싱 공격…. 2.2. LNK 악성코드원격 제어 악성코드…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. 최신 공격 사례…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRAT감염 이후…. 4.1. 키로거…. 4.2. 인포스틸러…. 4.3. 기타 유형들결론 1. 개요 북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의
WSF 스크립트로 유포되는 AsyncRAT
ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. [다운로드 URL]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip 최초 다운로드
