MS-SQL 서버의 sqlps.exe 유틸리티 악용한 Remcos RAT 유포 Posted By EASTSTON3 , 2023년 5월 15일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Remcos RAT가 설치되고 있는 것을 확인하였다. 이와 같은 사례는 2022년 2월 자사 블로그를 통해 공유한 이력이 있다. 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT 이번 사례는 당시 유포 방식과 다르게 공격자가 sqlps를 유포에 활용하고 있음을 확인 했다. sqlps 는 SQL Server PowerShell 로 SQL Server 설치에 포함되어 있다[1]. SQL Server PowerShell을 사용하면 SQL Server 인스턴스를 관리하는 데 필요한 PowerShell cmdlet을 사용할 수 있는데 공격자는 이런 기능을 악용하여 악성코드 유포에…
ASEC 주간 피싱 이메일 위협 트렌드 (20230430 ~ 20230506) Posted By ASEC , 2023년 5월 12일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 30일부터 05월 06일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
일본 사용자들을 대상으로 유포 중인 인포스틸러 Posted By Sanseo , 2023년 5월 12일 ASEC(AhnLab Security Emergency response Center)에서는 최근 일본 사용자들을 대상으로 성인 게임을 위장한 정보 탈취형 악성코드가 유포 중인 것을 확인하였다. 유포 경로는 확인되지 않지만 성인 게임이기 때문에 토렌트나 불법 공유 사이트를 통해 유포되고 있는 것으로 추정된다. 성인 게임을 위장하여 악성코드를 유포하는 방식은 국내에서도 자주 사용되는 방식이다. 공격자는 알려진 악성코드 대신 직접 제작한 것으로 보이는 악성코드들을 사용하였으며, PDB 정보를 통해 Stellar, ReceiverNeo라는 이름을 확인할 수 있었다. 다음 경로들은 악성코드가 탐지된 경로이며 여기에서 다룬 유형 외에도 다양한 성인 게임에 포함되어 유포된 것으로 추정된다….
ASEC 주간 악성코드 통계 (20230501 ~ 20230507) Posted By ASEC , 2023년 5월 10일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 1일 월요일부터 5월 7일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 60.6%로 1위를 차지하였으며, 그 다음으로는 다운로더가 27.3%, 이어서 백도어 9.1%, 랜섬웨어가 3.0%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 25.8%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일 주로 메일…
BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중 Posted By kwonxx , 2023년 5월 9일 AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다. LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장 지난번 소개한 BlackBit 랜섬웨어의 경우에도 svchost.exe를 위장하였으며, 이번에 수집한 LokiLocker 랜섬웨어도 동일하게 svchost.exe를 위장하여 유포되는 특징이 있다. 동일 패커 사용 (닷넷 리액터) 분석을 방해하기 위해 닷넷 리액터를 활용하여 코드 난독화가 되어있다. 언패킹한 BlackBit 랜섬웨어를 보면, LokiLocker 랜섬웨어에서 파생된 악성코드인 점을 확인할 수 있다. 작업스케줄러…
