윈도우 IIS 웹 서버를 노리는 Lazarus 그룹 Posted By muhan , 2023년 5월 17일 AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 아래 [그림 1]의 자사 AhnLab Smart Defense(ASD) 로그를 보면 공격 대상이 윈도우 서버 시스템이고, IIS 웹 서버 프로세스인 w3wp.exe에 의해 악성 행위가 수행되는 것이 확인된다. 이에 따라 공격자 또한 부적절하게 관리되고 있거나 취약한 웹 서버를 최초 침입…
스팸 메일로 유포 중인 DarkCloud 인포스틸러 Posted By Sanseo , 2023년 5월 17일 ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다. 1. 유포 방식 공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다. 해당 메일은 회사 계정으로 지불된 첨부된 지불 사본을 확인하도록 유도하는 내용이며, 첨부 파일의 압축을 해제하면 PDF 아이콘을 위장하고 있기 때문에 일반적인 사용자의 경우 이러한 메일을 받았을 때 문서 파일로 생각하고 악성코드를 실행할…
Kimsuky 그룹의 대북 종사자 대상 피싱 공격 Posted By suuzzane , 2023년 5월 16일 AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 그룹에서 국내 특정 국책연구기관의 웹메일 사이트와 동일한 사이트를 제작한 정황을 확인하였다. ASEC에서는 지난 연초에 국내 대형 포털사이트인 ‘네이버[1]/카카오[2]의 로그인화면으로 위장한 웹페이지’를 소개한 바 있다. 공격자는 당시 제작한 가짜 로그인페이지에서 무역/언론/대북관련 인물과 기관을 타겟으로 ID를 자동입력 해두었는데, 이번에도 동일하게 해당 기관 조직장의 ID를 자동입력 해놓은 것을 확인할 수 있다. 만약 사용자가 로그인 시도를 하게 되면 사내 웹메일 사이트의 계정정보를 확보하게 되는 것이므로, 공격자에게는 사용자의 포털사이트 계정정보를 확보하는 것만큼 유용한 데이터일 것으로 판단된다. 그림 1)…
ASEC 주간 악성코드 통계 (20230508 ~ 20230514) Posted By ASEC , 2023년 5월 16일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 8일 월요일부터 5월 14일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 49.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 37.3%, 이어서 백도어 11.0%, 랜섬웨어가 1.4%, 코인마이너가 0.5%로 집계되었다. Top 1 – Amadey Amadey Bot 악성코드는 이번 주 25.8%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이…
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹 Posted By Sanseo , 2023년 5월 15일 AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른 나라에 대한 공격도 진행하고 있다. [1] ASEC에서는 블로그를 통해 Kimsuky 그룹의 다양한 공격 사례들을 분석하여 공개하고 있으며, 주로 메일에 MS 오피스 문서 파일이나 [2] 원노트 [3], CHM[4]과 같은 악성 파일들을…
