정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지

AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 포메리움 프로젝트 관련 문의 자료.txt.lnk 23년 iris 협약 전 변경 신청 관련 자료.txt.lnk 오수연 진술서 자료.txt.lnk 문의 내용 확인 건.txt.lnk 딥브레인 ai 인터뷰 안내.txt.lnk 채용 관련 정보.txt.lnk [표 1] 유포 파일명 악성코드 유포는 [표 1]과 동일한 파일명의 압축 파일로 유포되며, 다운로드 및…

MySQL 서버를 공격 중인 Ddostf DDoS Bot 악성코드

ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. MySQL은 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 데이터베이스 서비스를 위해 주로 MS-SQL을 설치하며 리눅스 환경에서는 MySQL, PostgreSQL 등의 데이터베이스 서비스가 사용된다. 하지만 MySQL과 같은 DBMS 서비스는 윈도우 환경도 지원하기 때문에 MS-SQL 서버만큼은 아니지만 윈도우 환경에 설치된 사례도 일정 부분 존재하며 이에 따라 윈도우 환경에서 동작 중인 MySQL 서버를 대상으로 하는 공격도 꾸준히 확인되고 있다. 자사 AhnLab Smart Defense (ASD) 로그에 따르면…

이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer

이력서를 사칭하여 유포하는 방식은 LockBit 랜섬웨어의 대표적인 유포 경로이다. 이와 관련된 내용은 올해 2월 ASEC 블로그를 통해 공유된 바가 있으며,[1] 최근에는 LockBit 랜섬웨어만 유포되던 것과 다르게 정보 탈취형 악성코드를 포함하여 유포 중인 정황을 확인하였다.[2] ‘이력서16.egg’ 내부에는 PDF파일을 위장한 LockBit 랜섬웨어(좌)와 PPT파일을 위장한 Vidar 인포스틸러(우)가 존재하였다. 실행되는 랜섬웨어는 LockBit 3.0 버전으로 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화한다. LockBit 랜섬웨어와 함께 유포되는 Vidar 인포스틸러는 C2 통신 이전에 텔레그램 웹 사이트에 접속한다. 해당 사이트는 “twowheelfun” 채널로 해당 페이지에 명시되어 있는 문자열을…

취약한 RDP를 통해 유포되는 Phobos 랜섬웨어 주의

ASEC(AhnLab Security Emergency response Center)은 최근 Phobos 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. Phobos 랜섬웨어는 Dharma, CrySis 랜섬웨어와 기술 및 운영상의 유사점을 공유하는 변종 형태로 알려진 랜섬웨어로 알려져있다. 이들은 일반적으로 외부에 노출된 보안이 취약한 RDP 서비스를 공격 벡터로하여 유포되는 특징이 있으며, 이와 같이 보안이 취약한 RDP를 Initial Access로 활용한 랜섬웨어 유포는 매우 빈번하게 발생하기에 관리자의 각별한 주의가 필요하다.[1] [2] [3] 1. Phobos 랜섬웨어 개요 Phobos 랜섬웨어는 파일 감염 시 원본 확장자 뒤에 다음과 같이 “감염 PC의 VSN(Volume Serial Number)”, “공격자…

악성코드 패키지 다운로드하는 Phishing형 PDF

AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다. 유포된 PDF 파일 내에 포함된 버튼을 클릭하면 악성 URL주소로 접속한다. 아래 그림은 PDF 파일을 열었을 때 나타나는 화면으로, 붉은 음영으로 표시된 두 버튼 중 하나를 누르면 아래의 주소로 접속한다. 접속한 링크에서는…