CHM 파일로 유포되는 정보유출 악성코드 Posted By EASTSTON3 , 2023년 7월 21일 AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다….
국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 Posted By gygy0101 , 2023년 7월 20일 AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다. 해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다. 이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가…
MS-SQL 서버로 유포되는 PurpleFox Posted By muhan , 2023년 7월 17일 AhnLab Security Emergency response Center(ASEC)은 ASD(AhnLab Smart Defense) 인프라를 통해 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 PurpleFox 악성코드가 설치되고 있는 것을 확인하였다. PurpleFox 악성코드는 추가 악성코드를 다운로드하는 로더 역할을 수행하며 주로 코인 마이너 악성코드를 설치한다고 알려져있다. 악성코드의 기능에 자신을 엄폐하는 루트킷 기능도 포함되어 있어 각별한 주의가 필요하다. 이번에 확인된 PurpleFox 악성코드의 초기 침투 방식은 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격이 이루어졌다. 공격자는 아래 [그림 1]과 같이 MS-SQL 서버 관련 프로세스인 sqlservr.exe를 통해 파워쉘을 실행하였다. 위 파워쉘 명령이 실행되면…
윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹 Posted By Sanseo , 2023년 7월 14일 AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를 조작한다. 이후 취약한 버전의 INISAFE CrossWeb EX V6를 사용 중인 시스템에서 해당 사이트에 웹 브라우저로 접근할 경우 INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 Lazarus 악성코드(SCSKAppLink.dll)가 설치되는 방식이다. INITECH 취약점은 이미…
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 Posted By Sanseo , 2023년 7월 3일 Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다. 1. 개요 Rekoobe은 리눅스 환경을 대상으로 하는 백도어 악성코드이다. 2015년에 최초로 확인되었으며, [1] 2018년에는 업데이트된 버전이 공격에 사용되고 있는 사례가 존재한다. [2] ELF 포맷의 Rekoobe은 아키텍처가 x86, x64 그리고 SPARC인 것을 보아 주로 리눅스 서버를…
