취약점 공격으로 유포 중인 PlugX 악성코드 Posted By Sanseo , 2023년 3월 3일 ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin RCE 취약점을 통해 Sliver C2와 XMRig 코인 마이너 그리고 Gh0st RAT 악성코드가 유포되고 있다는 사실을 공개한 바 있다. 참고로 Gh0st RAT 또한 중국에서 개발된 악성코드임에 따라 주로 중국을 기반으로 하는 공격자들이 주로 사용하는…
ASEC 주간 피싱 이메일 위협 트렌드 (20230219 ~ 20230225) Posted By ASEC , 2023년 3월 3일 ASEC에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 02월 19일부터 02월 25일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다. 본…
국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft) Posted By gygy0101 , 2023년 3월 3일 ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개한다. CHM 파일 실행 시, 국내 금융 기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하며…
복호화 가능한 iswr 랜섬웨어 국내 유포중 Posted By song.th , 2023년 3월 2일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…
RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker) Posted By Sanseo , 2023년 2월 28일 ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다. 공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였으며, 이를 이용해 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 것으로 보인다. 1. RDP를 이용한 랜섬웨어 설치 RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근…