정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking)

정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종 사용되는 방식이다. 상용 소프트웨어의 크랙, 키젠 등으로 위장한 악성코드 유포 또한 DLL 하이재킹 방식의 샘플 비중을 점차 늘려가고 있다. 본격적인 유포는 지난 5월경 관측되기 시작하였으며, 다시 8월부터 최근까지 활발하게 유포…

급여명세서를 위장하여 유포되는 램코스 악성코드 (Remcos RAT)

 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 급여명세서를 위장하여 유포되는 Remcos 원격 제어 악성코드의 유포 정황을 발견했다. 확인된 Remcos RAT 악성코드는 [그림 1]와 같이 ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포되었다. 첨부된 cab 압축파일 내부에는 [그림 2]과 같이 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 되어있다.        Remcos RAT 악성코드는 [그림 3]과같이 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적인 원격…

Cisco IOS XE Software Web UI 취약점 주의 (CVE-2023-20198, CVE-2023-20273)

개요 이달, Cisco는 실제 공격에 활발히 악용되고 있는 두 취약점 CVE-2023-20198, CVE-2023-20273에 대한 보안 권고를 발표하였다. 취약점은 Cisco IOS XE Software의 Web UI에서 발생한다. CVE-2023-20198 취약점은 인증되지 않은 공격자가 가장 높은 수준의 접근 권한인 레벨 15 권한의 임의의 계정을 생성하여 시스템을 제어할 수 있으며, CVE-2023-20273 취약점은 명령어 주입을 수행하여 악의적인 내용을 파일 시스템에 쓸 수 있다. 각각 CVSS 점수 10.0/7.2를 할당받았다.   영향 받는 제품 Cisco IOS XE Software의 Web UI 기능이 활성화되어 있다면 영향을 받는다. Web UI는 다음 명령어를…

사라진 MS Office 문서 악성코드, 어디로 갔나?

웹 브라우저나 이메일 클라이언트에 저장되어있는 사용자 계정 정보를 탈취하는 인포스틸러(정보 탈취) 악성코드는 실질적으로 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다. 이와 관련된 내용은 작년 12월의 ASEC 블로그를 통해 공유된 바 있다.[1] 명명된 악성코드의 주요 기능마다 유포방식이 조금 다르기는 하지만, 일반적으로 인포스틸러 유형의 악성코드는 정상 프로그램을 다운로드하는 페이지로 위장한 악성 사이트를 유포 경로로 삼거나, 스팸메일의 첨부파일 혹은 Word/Excel 과 같은 MS Office 문서를 통해 활발히 유포되는 경향을 보여왔다. 본 블로그에서는 기존의 MS Office 문서를 통한 악성파일의 유포비중이 크게 감소한…

RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹

북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2] Kimsuky 위협 그룹이 초기 침투 이후 설치하는 악성코드들로는 주로 감염 시스템을 제어하기 위한 백도어나 감염 시스템에 존재하는 민감한 정보들을…