취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크

ASEC 분석팀은 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격(Brute Forcing) 또는 사전 공격(Dictionary Attack)이 있다. 일반적으로 공격자 또는 악성코드는 1433번 포트에 대한 스캐닝 과정을 통해 외부에 오픈된 MS-SQL 서버들을 확인한다. 이후 관리자 계정 즉 “sa” 계정에 대해 무차별 대입 공격이나 사전…

변형된 CryptBot 정보 탈취 악성코드 유포 중

CryptBot 악성코드는 주로 크랙 및 툴 공유로 위장하여 유포되는 정보 탈취 유형의 악성코드이다. 유포 페이지는 구글 등의 검색 엔진의 검색 결과 상위에 노출되어 감염 위험이 크며 관련 진단의 탐지 수량 또한 많은 편이다. 때문에 ASEC 분석팀에서는 기존 여러 포스팅을 통해서 관련 위협에 대해 주의를 당부하였다. 지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드 다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드 CryptBot 악성코드는 변형이 매우 활발한 악성코드 중 하나로, 유포 페이지는 지속적으로 새롭게 생성되며 최근 들어 변형된 버전의 CryptBot 악성코드가 유포되고 있어…

Magniber 랜섬웨어의 유포 중단 (2/5 이후)

안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다. 인터넷 익스플로러의 브라우져 취약점을 사용하는 매그니베르 랜섬웨어 크로미움(Chromium)기반 브라우져인 경우 업데이트 설치파일(.appx)…

Cryptbot 과 동일한 방식으로 PseudoManuscrypt 국내 유포 중

ASEC 분석팀은 지난 2021년 5월 경부터 현재까지 PseudoManuscrypt 악성코드가 국내 유포 중인 정황을 포착하였다. PseudoManuscrypt 악성코드는 ASEC 블로그에 소개해왔던 Cryptbot 악성코드와 유사한 형태의 설치 파일로 위장하여 유포되고 있으며 파일의 형태 뿐만 아니라, 검색 엔진에 Crack, Keygen 등 상용 소프트웨어 관련 불법 프로그램에 대해 검색할 경우 상위에 노출되는 악성 사이트를 통해 유포되는 방식도 Cryptbot 과 동일하다. 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 PseudoManuscrypt 진단 로그 중 아래와 같은 실행 파일 경로를 확인하였으며, 윈도우 정품 인증 프로그램을 악성 사이트에서 다운 받으려던 것으로…

ASEC 주간 악성코드 통계 ( 20220131 ~ 20220206 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 31일 월요일부터 2월 6일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 61.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.9%, 뱅킹 악성코드 11.3%, 랜섬웨어 4.4%, 다운로더 3.8% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 40.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…