CobaltStrike를 이용한 아파치 웹 서버 대상 크립토재킹 공격 캠페인 Posted By Sanseo , 2023년 11월 14일 AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. 윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치 톰캣(Tomcat) 그리고 Nginx 등이 존재한다. 아파치 웹 서비스는 주로 리눅스 웹 서버에서 사용하는 편이지만 윈도우 운영체제도 함께 지원하기 때문에 윈도우 환경에서 서비스를 제공하는 경우도 소수 존재한다. ASEC에서는 최근 아파치 웹…
기업 홍보물 제작을 위장한 악성 LNK 유포 Posted By ch.lim , 2023년 11월 10일 최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다. 악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK…
자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹) Posted By song.th , 2023년 11월 10일 ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다. Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1] 이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도…
공공기관을 사칭하여 유포 중인 악성코드 주의(LNK) Posted By yeeun , 2023년 11월 9일 AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다. 해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다. 메일에 첨부된 HTML 파일 실행 시 다음과 같이…
정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지 Posted By EASTSTON3 , 2023년 11월 7일 AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 포메리움 프로젝트 관련 문의 자료.txt.lnk 23년 iris 협약 전 변경 신청 관련 자료.txt.lnk 오수연 진술서 자료.txt.lnk 문의 내용 확인 건.txt.lnk 딥브레인 ai 인터뷰 안내.txt.lnk 채용 관련 정보.txt.lnk [표 1] 유포 파일명 악성코드 유포는 [표 1]과 동일한 파일명의 압축 파일로 유포되며, 다운로드 및…
