RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자 Posted By Sanseo , 2023년 6월 23일 ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로 추정하고 있다. 공격자는 Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였다. 이러한 도구들을 이용해 감염 시스템이 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 수…
DNS TXT 레코드를 활용한 악성코드 실행방법 Posted By suuzzane , 2023년 6월 19일 AhnLab Security Emergency response Center(ASEC)에서는 악성코드를 실행하는 과정에서 DNS TXT 레코드를 활용하는 정황을 확인하였다. 이러한 방식은 기존에 악성코드 실행방법으로 널리 활용되지 않았기 때문에 분석/탐지를 비롯한 여러 관점에서 유의미하다고 보여진다. DNS TXT 레코드는 도메인 관리자가 DNS에 텍스트를 입력할 수 있는 기능이다. 원래는 사람이 읽을 수 있는 메모를 기입하기 위한 목적이었으나, 현재 DNS TXT 레코드는 스팸메일 수신방지 & 도메인 소유권 확인 목적을 비롯하여 DNS에 저장된 다양한 유형의 정보를 나타내기 위해 사용되고 있다. 대표적인 두 가지 사용 목적 1) 스팸메일 수신방지 2) 도메인…
ASEC 주간 피싱 이메일 위협 트렌드 (20230604 ~ 20230610) Posted By ASEC , 2023년 6월 16일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 06월 04일부터 06월 10일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky Posted By gygy0101 , 2023년 6월 16일 AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고 있다. (1) 유포 사례 5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로…
한글 문서 파일을 위장한 악성코드(Kimsuky) Posted By yeeun , 2023년 6월 16일 AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다. 확인된 악성코드는 압축파일 형태로 유포되며 내부에 readme.txt와 함께 한글 문서 확장자로 위장한 실행 파일이 존재한다. readme.txt 파일에는 아래와 같이 악성 EXE 파일(개인정보유출내역.hwp.exe)의 실행을 유도하는 문구가 포함되어 있다. 악성 EXE 파일은 닷넷(.NET)으로 컴파일되었으며 한글 문서 아이콘을 사용하여 문서 파일처럼 보이도록 위장하였다. 또한, 확장자가…
