리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드 Posted By Sanseo , 2023년 3월 20일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있으며 여기에서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot을 다룬다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과…
사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky) Posted By yeeun , 2023년 3월 20일 AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다. 원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다. 해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이…
Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397) Posted By gygy0101 , 2023년 3월 18일 개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다. 취약점 내용 Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다. [그림 1] Outlook 미리 알림 기능 이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다. 또한 PidLidReminderOverride 프로퍼티는 위 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티다. 메일(msg) 내 PidLidReminderFileParameter 값은 공격자가…
자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할…
공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 VestCert 2.3.6 ~ 2.5.29 버전 …
