Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD Posted By Sanseo , 2023년 1월 25일 Sliver는 Go 언어로 개발된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구들로는 대표적으로 코발트 스트라이크와 Metasploit이 있으며 실제 많은 공격자들이 애용하고 있고 ASEC 블로그에서도 다양한 공격 사례들을 다룬 바 있다. 최근에는 코발트 스트라이크나 Metasploit 외에도 공격자들이 Sliver를 사용하는 사례들이 확인되고 있다. ASEC (AhnLab Security Emergengy response Center) 분석팀은 취약점이 패치되지 않은 시스템이나 부적절하게 설정된 시스템들을 대상으로 하는 공격들을 모니터링하고 있으며, 최근 Sliver 백도어가 특정 소프트웨어에 대한 취약점 공격으로 추정되는 과정을 통해 설치되고 있는 것을 확인하였다. 공격자들은 이외에도 Sliver 백도어뿐만 아니라…
ASEC 주간 피싱 이메일 위협 트렌드 (20230108 ~ 20230114) Posted By ASEC , 2023년 1월 20일 ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 08일부터 01월 14일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….
정상 한글 문서를 위장한 악성 링크 파일(LNK) Posted By ye_eun , 2023년 1월 18일 ASEC 분석팀은 정상 한글 문서를 위장한 악성 LNK 파일이 유포되고 있음을 확인하였다. 국세청을 사칭한 텍스트 파일과 함께 유포되고 있으며 관련 내용이 담긴 정상 한글 문서가 실행되어 사용자가 악성 파일임을 인지하기 어렵다. 최종적으로 실행되는 악성 스크립트 파일은 ‘제품소개서로 위장한 악성 워드 문서‘ 에서 소개한 악성스크립트와 동일한 유형으로 확인되며 같은 공격자에 의해 제작된 것으로 보인다. 최근 확인된 LNK 파일은 다음과 같이 주로 세무조사와 관련된 파일명으로 유포되고 있다. LNK 파일은 정상적인 텍스트 파일과 함께 압축 파일 형태로 유포되는 것으로 추정된다. 공격자는 해당 텍스트…
ASEC 주간 악성코드 통계 (20230109 ~ 20230115) Posted By ASEC , 2023년 1월 18일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 1월 9일 월요일부터 01월 15일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 38.4%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 37.0%, 이어서 백도어 18.2%, 랜섬웨어 4.0%, 코인마이너 1.5%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 17.7%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면…
제품 견적 의뢰 위장 피싱메일 유포 중 Posted By sm.Yi , 2023년 1월 18일 최근 ASEC 분석팀에서는 제품의 견적 의뢰를 요청한다는 내용으로 피싱메일들을 모니터링하였다. 해당 피싱 메일들은 공통적으로 제조업체나 주물공장의 팀장, 부장과 같이 높은 직책의 관리자가 보낸 것처럼 위장하고 있다. 또한 첨부파일이 있었는데, .html과 .htm이었다. 이 글에서는 대표적인 두 가지 견적의뢰 위장 피싱메일에 대한 정보를 전달한다. 편의상 1번 피싱 메일, 2번 피싱 메일로 명명하여 작성하였다. [그림 1] 유포 중인 1번 피싱 메일 [그림 2] 첨부파일 .html 1번 피싱 메일의 .html 첨부파일을 열어보면, 계정 로그인을 요구하는 화면을 확인할 수 있다. 제품에 대한 견적 의뢰를 요청하는…