FileLess 형태로 유포 중인 AsyncRAT

Posted By ,

ASEC 분석팀은 최근 FileLess 형태로 AsyncRAT 악성코드가 유포 중인 것을 확인하였다. 유포 중인 AsyncRAT 은 다수의 스크립트 파일을 통해 FileLess 형태로 실행되며, 이메일 내 압축파일로 첨부되어 유포되는 것으로 추정된다. AsyncRAT 은 닷넷으로 개발된 오픈 소스 RAT 악성코드로 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 피싱 메일을 통해 유포되는 압축파일 내부에는 html 파일이 존재하며, 실행 시 내부 스크립트에 존재하는 악성 데이터를 ISO 파일로 저장한다. ISO 는 최근 다양한 악성코드들이 사용 중인 확장자이다. 생성되는 ISO 파일은 영수증 및 송장과 관련된…

국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹

Posted By ,

최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드 이번 사례는 IIS 웹서버나 MS Exchange 서버 침해 사고로 기존에 알려진 유형과 동일하나, 개인이 아닌 특정 공격 그룹으로 추정되는 사례를 소개하고자 한다. 해당 그룹의 가장 큰 특징을 FRP 오픈소스 도구를 사용한다는 점이다. 이 그룹은 외부에서 접근 가능한 서버를 찾아…

ASEC 주간 악성코드 통계 (20220808 ~ 20220814)

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 8일 월요일부터 8월 14일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 41.9%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 38.4%, 다운로더 16.8%, 랜섬웨어 2.2%, 코인마이너 악성코드가 0.6%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나…

윈도우 정품 인증 툴을 이용해 유포 중인 BitRAT, XMRig 코인 마이너

Posted By ,

ASEC 분석팀에서는 최근 윈도우 정품 인증 툴을 위장하여 BitRAT과 XMRig 코인 마이너가 유포 중인 것을 확인하였다. BitRAT은 아래의 블로그들에서 다룬 바와 같이 이전에도 웹하드를 통해 MS 윈도우 정품 인증 툴과 MS 오피스 설치 프로그램으로 위장하여 유포된 이력이 있으며, 현재 블로그에서 다루는 사례도 동일한 공격자로 추정된다. 특이한 점으로는 V3 설치되지 않은 환경에서는 BitRAT 원격제어툴이 설치되며, V3 설치 환경에서는 (BitRAT 가 아닌) 코인 마이너를 설치하는 기능이 존재한다. 최초 유포 사례는 확인되지 않지만 현재 기준 악성코드는 MediaFire라고 하는 파일 호스팅 사이트에 KMS 윈도우…

ASEC 주간 악성코드 통계 (20220801 ~ 20220807)

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 1일 월요일부터 8월 7일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 47.4%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 22.6%, 다운로더 20.0%, 랜섬웨어 6.8%, 뱅킹 2.6%, 코인마이너 악성코드가 0.5%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 25.8%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시…