국내 금융 보안 솔루션의 취약점을 이용하는 Lazarus 공격 그룹

Lazarus 공격 그룹은 이전 ASEC 블로그에서도 소개했던 바와 같이 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 활용하고 있다.  INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18) BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24) ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던 중, 기존에 공격에 악용되던 INISAFE CrossWeb EX와 MagicLine4NX외에 VestCert와 TCO!Stream의 0-day 취약점을 이용되는 정황을 새롭게 확인했다. VestCert는 예티소프트사에서 제작한 Non-ActiveX 방식의 웹 보안 소프트웨어이며 TCO!Stream은 (주)엠엘소프트의 기업 자산관리 프로그램으로 두 솔루션…

ASEC 주간 악성코드 통계 (20230529 ~ 20230604)

ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 29일 월요일부터 6월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 40.1%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 39.5%, 이어서 백도어 13.6%, 코인마이너가 4.1%, 랜섬웨어가 2.7%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 21.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일…

ASEC 주간 피싱 이메일 위협 트렌드 (20230521 ~ 20230527)

AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 21일부터 05월 27일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…

‘한미 합동 사이버 보안 권고’ 관련, 안랩 유사 대응 사례

6월 2일 오늘 대한민국 국가정보원(NIS)·경찰청(NPA)·외교부(MOFA)와 미합중국 연방수사국(FBI)·국무부(DoS)·국가안보국(NSA)은 북한 킴수키 조직의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개하였다. 전세계의 연구소·싱크탱크·학술기관·언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위함이라고 언급하였으며 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인들을 사칭하여 이메일을 통한 스피어피싱 공격을 수행하는 것으로 알려져 있다고 밝혔다. 제목: 북한 김수키 조직의 싱크탱크·학계·미디어 대상 사회공학적 기법을 악용한 해킹공격 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 IOC가 공개되지는 않았으나, 공개된 내용과 유사한 김수키 해킹조직의 사회공학적 기법에 대해 AhnLab Security…

입사지원서를 위장한 악성코드 유포 중

AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다. 위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다. 이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한…