리눅스 SSH 서버를 대상으로 유포 중인 코인 마이너 (KONO DIO DA) Posted By Sanseo , 2023년 4월 24일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 XMRig 코인 마이너가 설치되고 있는 것을 확인하였다. 공격은 최소한 2022년 경부터 이루어지고 있는 것으로 확인되며 XMRig를 설치할 때 SHC(SHell script Compiler)로 개발한 악성코드가 사용된다는 점과 SSH 백도어 계정을 등록한다는 점이 특징이다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너 악성코드를 설치하는 사례가 대부분을 차지하고 있다. DDoS Bot의 경우 과거 ASEC 블로그에서 ShellBot [1], ChinaZ DDoS Bot [2] 악성코드를 설치하는…
링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft) Posted By yeeun , 2023년 4월 21일 AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다. RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 존재한다. 이번에 확인된 LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 악성 행위를 수행한다. 확인된 LNK 파일명은 다음과 같다….
ASEC 주간 피싱 이메일 위협 트렌드 (20230409 ~ 20230415) Posted By ASEC , 2023년 4월 20일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 04월 09일부터 04월 15일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용 Posted By gygy0101 , 2023년 4월 19일 Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드 국내 유포는 지난 2021년부터 확인되었으며, 진단 우회를 위해 다양한 형태로 변형되고 있다. 최근에 확인된 유형의 전체적인 동작 과정은 [그림 1] 과 같으며, ReVBShell 을 통해 공격자의 명령을 받는 과정까지는 기존과…
ASEC 주간 악성코드 통계 (20230410 ~ 20230416) Posted By ASEC , 2023년 4월 18일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 4월 10일 월요일부터 4월 16일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 백도어가 58.4%로 1위를 차지하였으며, 그 다음으로는 다운로더가 23.0%, 이어서 인포스틸러 17.2%, 랜섬웨어 0.8%, 뱅킹 0.6%로 집계되었다. Top 1 – RedLine RedLine 악성코드는 54.7%로 1위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을…
