기업 홍보물 제작을 위장한 악성 LNK 유포

최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다. 악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK…

자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹)

ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다. Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1] 이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도…

공공기관을 사칭하여 유포 중인 악성코드 주의(LNK)

AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다. 해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다. 메일에 첨부된 HTML 파일 실행 시 다음과 같이…

정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지

AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 포메리움 프로젝트 관련 문의 자료.txt.lnk 23년 iris 협약 전 변경 신청 관련 자료.txt.lnk 오수연 진술서 자료.txt.lnk 문의 내용 확인 건.txt.lnk 딥브레인 ai 인터뷰 안내.txt.lnk 채용 관련 정보.txt.lnk [표 1] 유포 파일명 악성코드 유포는 [표 1]과 동일한 파일명의 압축 파일로 유포되며, 다운로드 및…

MySQL 서버를 공격 중인 Ddostf DDoS Bot 악성코드

ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. MySQL은 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 데이터베이스 서비스를 위해 주로 MS-SQL을 설치하며 리눅스 환경에서는 MySQL, PostgreSQL 등의 데이터베이스 서비스가 사용된다. 하지만 MySQL과 같은 DBMS 서비스는 윈도우 환경도 지원하기 때문에 MS-SQL 서버만큼은 아니지만 윈도우 환경에 설치된 사례도 일정 부분 존재하며 이에 따라 윈도우 환경에서 동작 중인 MySQL 서버를 대상으로 하는 공격도 꾸준히 확인되고 있다. 자사 AhnLab Smart Defense (ASD) 로그에 따르면…