리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 Tsunami DDoS Bot을 설치하고 있는 공격 캠페인을 확인하였다. 공격자는 Tsunami뿐만 아니라 ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드들을 설치하였다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너 악성코드를 설치하는 사례가 대부분을 차지하고 있다. DDoS Bot의 경우 과거 ASEC 블로그에서 ShellBot [1], ChinaZ DDoS Bot [2] 악성코드를 설치하는 공격 사례를 소개한 바 있으며, XMRig 코인 마이너를 설치하는 공격…

개인을 도청하는 RedEyes 그룹 (APT37)

1.개요 RedEyes(also known as APT37, ScarCruft, Reaper) 그룹은 국가 지원을 받는 APT 조직이며 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등의 개인을 대상으로 공격을 수행한다. 이들의 임무는 특정인들의 일상을 감시하는 것으로 알려져 있다. ASEC(AhnLab Security Emergengy response Center)은 2023년 5월 RedEyes 그룹이 Ably 플랫폼을 악용한 Golang 백도어를 유포 및 마이크 도청 기능을 포함한 이전에 알려지지 않은 새로운 정보 유출 악성코드 사용 정황을 확인하였다.* ABLY[1]는 실시간 데이터 전송 및 메시지를 위한 플랫폼이며 Pub/Sub 메시징, 푸시 알림, 실시간 쿼리, 상태 동기화를…

보안 업데이트 설치 프로그램으로 위장한 악성코드 유포 주의

안랩에서는 국가사이버안보센터(NCSC) 합동분석협의체와 함께 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하였다. 발견된 악성코드는 보안 업데이트 설치 프로그램으로 위장하였으며 다음과 같이 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작되었다. [그림 1] Security Upgrade로 위장한 설치 프로그램 이노 셋업(Inno Setup) JrSfoftware사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 [표 1] 용어 설명 (이노 셋업) 이노 셋업을 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다….

특정 홈페이지 제작 업체가 제작한 국내 다수의 홈페이지 피해 확인

AhnLab Security Emergency response Center(ASEC)에서는 국내 홈페이지 제작업체가 제작한 홈페이지를 타겟으로 공격하여 악성코드 유포에 활용하는 정황이 확인되었다. 특정 홈페이지 제작업체는 제조, 무역, 전기, 전자, 교육, 건설, 의료, 여행 등의 다양한 회사를 대상으로 홈페이지를 제작한 업체다. 침해당한 홈페이지는 악성코드 유포에 활용되며, 웹쉘을 통해 탈취한 정보를 전송하는 등의 기능을 수행한다. 해당 공격 방식의 최초 유포는 ASEC 블로그를 통해 게시한 내용처럼 메일의 첨부파일로 이루어진 것으로 확인된다. 감염된 시스템에는 작업 스케줄러에 등록되어 지속적으로 침해가 이루어 진다. 감염된 경우 작업 스케줄러에 등록된 명령어 처럼 정상…

ASEC 주간 피싱 이메일 위협 트렌드 (20230528 ~ 20230603)

AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 28일부터 06월 03일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…