신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포

신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는 대부분 RecordBreaker(Raccoon V2) 악성코드가 사용되나, LummaC2 Stealer가 종종 모습을 보이고 있다. 3월 3일 최초 발견되었으며, 3월 12일, 3월 20일에도 유포된 이력이 확인되어 약 일주일 간격으로 모습을 보이고 있다.  …

EDR을 활용한 CHM 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…

ASEC 주간 악성코드 통계 (20230313 ~ 20230319)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 3월 13일 월요일부터 3월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 백도어가 34.5%, 이어서 다운로더 18.7%, 랜섬웨어 1.7%, 뱅킹 0.9%, 코인마이너 0.4%로 집계되었다. Top 1 –  Redline RedLine 악성코드는 23.4%로 1위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을 받아…

‘한독 합동 사이버 보안 권고’ 관련 안랩 대응 현황

3월 20일 오늘 대한민국 국가정보원(NIS)과 독일 헌법보호청(BfV)은 킴수키(김수키) 해킹조직과 관련한 합동 보안 권고문을 발표하였다. 합동 보안 권고문에 따르면, 킴수키 해킹조직은 크로미움 브라우저 확장프로그램과 안드로이드 앱 개발자 지원 기능을 악용하여 계정정보 절취(탈취) 공격을 하였다. 한반도•대북 전문가를 주요 공격타깃으로 하고 있으나, 전 세계 불특정 다수로 공격이 확대될 수 있다고도 하였다. 안랩은 합동 보안 권고문에 공개된 침해지표(IoC) 파일을 다음과 같이 진단한다. 침해지표 MD5 진단명 엔진버전 012d5ffe697e33d81b9e7447f4aa338b 설정 파일로서 진단대상 아님 – 51527624e7921a8157f820eb0ca78e29 Backdoor/JS.Agent.SC182439 2022.11.02.03 582a033da897c967faade386ac30f604 Backdoor/JS.Agent.SC182438 2022.11.02.03 04bb7e1a0b4f830ed7d1377a394bc717 Android-Trojan/Kimsuky 2022.10.27.00 89f97e1d68e274b03bc40f6e06e2ba9a Android-Trojan/FastSpy 2022.10.28.05…

리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있으며 여기에서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot을 다룬다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과…