BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중 Posted By kwonxx , 2023년 5월 9일 AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다. LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장 지난번 소개한 BlackBit 랜섬웨어의 경우에도 svchost.exe를 위장하였으며, 이번에 수집한 LokiLocker 랜섬웨어도 동일하게 svchost.exe를 위장하여 유포되는 특징이 있다. 동일 패커 사용 (닷넷 리액터) 분석을 방해하기 위해 닷넷 리액터를 활용하여 코드 난독화가 되어있다. 언패킹한 BlackBit 랜섬웨어를 보면, LokiLocker 랜섬웨어에서 파생된 악성코드인 점을 확인할 수 있다. 작업스케줄러…
중국 해커 조직의 국내 기업 정보 탈취 Posted By kingkimgim , 2023년 5월 4일 최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다. 중국 해커 그룹의 가이드 라인 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z”…
ASEC 주간 피싱 이메일 위협 트렌드 (20230423 ~ 20230429) Posted By ASEC , 2023년 5월 4일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 23일부터 04월 29일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드 Posted By KDH , 2023년 5월 4일 RecordBreaker Stealer는 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드로, 작년 처음 등장하여 일반 사용자를 대상으로 활발하게 유포 중이다. Raccoon Stealer V2 라고도 불리며 웹 사이트, YouTube 등 다양한 채널을 통해 유포되고 있다. 동일 방식으로 활발히 유포되던 CryptBot이 올해 2월 이후로 완전히 자취를 감추고 이따금 Vidar 악성코드가 모습을 보이긴 하지만 대부분 RecordBreaker가 유포된다. 최근 유포된 샘플 중에서 악성코드의 버전 정보와 인증서를 국내 S/W 기업 제품으로 위장하고 있는 샘플이 발견되어 간략한 내용을 소개하고자 한다. 기존에도 여러 유명 소프트웨어의…
ASEC 주간 악성코드 통계 (20230424 ~ 20230430) Posted By ASEC , 2023년 5월 3일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 4월 24일 월요일부터 4월 30일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 54.9%로 1위를 차지하였으며, 그 다음으로는 다운로더가 33.3%, 이어서 백도어 10.5%, 랜섬웨어와 뱅킹 악성코드가 0.6%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 35.2%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일…
