Microsoft Windows의 보안 업데이트 권고 (CVE-2024-21338) Posted By ASEC , 2024년 2월 28일 개요 2024년 2월 13일 Microsoft에서는 윈도우 커널 권한 상승 취약성(Windows Kernel Elevation of Privilege Vulnerability) CVE-2024-21338 패치를 발표하였다. 해당 취약성은 윈도우 기능인 AppLocker의 드라이버로 알려진 “appid.sys”의 특정 IOCTL에서 발생한다. 공격자는 취약성을 악용하여 임의의 커널 메모리 영역에 읽기/쓰기를 수행할 수 있으며 공격자의 의도에 따라 보안 제품을 무력화하거나 시스템 권한 획득이 가능하다. 최근 Lazarus 공격 그룹이 보안 제품을 무력화하기 위해 CVE-2024-21338을 사용했다는 분석 내용이 AVAST로부터 보고되었다. 따라서 Windows 운영체제 사용자들은 최신 보안 패치로 업데이트 할 것을 권고한다. 설명 공격자가 커널 모드에서 코드를…
z0Miner 공격자, 국내 웹 서버를 악용하여 WebLogic 서버 공격 Posted By kingkimgim , 2024년 2월 28일 AhnLab SEcurity intelligence Center(ASEC)에서는 국내의 취약한 서버를 대상으로 공격하는 사례를 확인하고 있다. 해당 포스팅에서는 최근 ‘z0Miner’ 공격자가 국내 WebLogic 서버를 대상으로 공격한 사례를 소개한다. z0Miner 공격자는 중국의 Tencent Security에서 처음으로 소개되었다. 이들은 과거부터 국내외 취약한 서버(Atlassian Confluence, Apache ActiveMQ, Log4J 등)를 대상으로 마이너를 유포한 이력이 있어 ASEC을 통해 자주 언급되었다. Atlassian Confluence 서버 사례 (2022.07.15) Apache ActiveMQ 서버 사례 (2023.12.13) 또한 이 공격자는 CVE-2020-14882/CVE-2020-14883 취약점을 사용해 WebLogic 서버를 공격한 것으로 많이 알려져 있다. 2024년 1월 26일, ‘z0Miner 공격자’는 국내 WebLogic 서버…
aNotepad를 악용하는 WogRAT 악성코드 (윈도우, 리눅스) Posted By Sanseo , 2024년 2월 26일 최근 AhnLab SEcurity intelligence Center(ASEC)에서는 무료 온라인 메모장 플랫폼인 aNotepad를 악용하여 유포되고 있는 백도어 악성코드를 확인하였다. 해당 악성코드는 윈도우 시스템을 대상으로 하는 PE 포맷의 악성코드뿐만 아니라 리눅스 시스템을 대상으로 하는 ELF 포맷의 악성코드도 지원한다. 공격자는 악성코드 제작 시 WingOfGod이라는 문자열을 사용하였으며 이를 기반으로 WogRAT으로 분류한다. 1. 유포 사례 WogRAT은 적어도 2022년 말부터 최근까지 지속적으로 공격에 사용되고 있는 것으로 보인다. 비록 리눅스 시스템을 대상으로 하는 공격 사례는 확인되지 않았지만 윈도우 대상 악성코드들의 경우 수집 시 파일 명을 기반으로 했을 때 정상…
온라인 스캠: 스캠이란 무엇인가? Posted By Soojin Choi , 2024년 2월 23일 주변에 온라인 스캠 사기 피해자가 있는가? 혹은 본인이 스캠에 당할 뻔했거나 당한 적이 있는가? 본 글은 온라인 스캠이 무엇인지 알아보고 현재 얼마나 많은 스캠이 누구를 대상으로 어떻게 접근하여 어떤 피해를 주는지 그 현황을 다룬다. 본 글은 안랩에서 자체적으로 파악한 데이터와 외부에 공개된 정보를 참고하여 작성하였다. 외부 정보를 인용한 경우에는 그 출처를 명시하였다. 내용 스캠이란 무엇인가 스캠 vs. 사기 vs. 피싱 얼마나 심각한가 목적이 무엇인가 누가 당하는가 어떻게 접근하는가 무엇을 하도록 유도하는가 어떤 종류가 있는가 왜 당할 수밖에 없는가 참고 자료…
Telegram API 로 탈취 정보를 전송하는 피싱 악성코드 Posted By gygy0101 , 2024년 2월 20일 AhnLab SEcurity intelligence Center(ASEC) 은 지난해 Telegram 을 활용하여 사용자 정보를 유출하는 피싱 스크립트에 대해 소개한 바 있다.[1] 최근까지도 Telegram 을 이용한 피싱 스크립트가 다수 확인되고 있으며 송금, 영수증 등의 키워드를 활용하여 불특정 다수를 대상으로 유포되는 특징이 있다. 최근 유포 중인 피싱 스크립트는 유포 초기와 다르게 탐지를 회피하기 위해 코드 난독화를 사용하였으며, 기존과 유사하게 보호된 문서를 열람하도록 로그인을 유도하거나 Microsoft 로그인 페이지를 사칭하는 등 다양한 형태로 유포되고 있는 것을 확인할 수 있다. 난독화 해제된 코드는 다음과 같으며, 공격자는 실제로 사용되는…
