후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft) Posted By gygy0101 , 2023년 9월 4일 ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서 사용된 명령어가 동일하게 확인되었다. 이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과…
Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft) Posted By yeeun , 2023년 9월 1일 AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로 확인된다. 악성 LNK 파일은 ‘REPORT.ZIP’ 파일명으로 업로드 되어 있다. 해당 파일은 <링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)>[2]에서 확인된 악성코드와 동일하게 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트…
스팸메일을 통해 유포되는 파일리스 악성코드 추적 Posted By ohmintaek , 2023년 8월 31일 AhnLab Security Emergency response Center(ASEC)은 스팸메일을 통해 PE 파일(EXE)을 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법의 피싱 캠페인을 발견하였다. hta 확장자로 첨부된 악성코드는 최종적으로 AgentTesla, Remcos, LimeRAT 과 같은 악성코드들을 실행한다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 해당 악성코드를 유포하는 스팸메일 본문이다. 은행 이체통지서를 위장하여 유포되었으며, 첨부된 ISO 이미지 파일 내부에는 [그림 2] 와 같이 이체 통지서로 위장한 스크립트 파일(.hta)이 포함되어 있다. hta 파일은 실행시 윈도우 응용프로그램인 mshta.exe 에…
Andariel 그룹의 새로운 공격 활동 분석 Posted By Sanseo , 2023년 8월 22일 목차1. 과거 공격 사례…. 1.1. Innorix Agent 악용 사례…….. 1.1.1. NukeSped 변종 – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. 국내 기업 공격 사례…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped 변종2. 최근 공격 사례…. 2.1. Innorix Agent 악용 사례…….. 2.1.1. Goat RAT…. 2.2. 국내 기업 공격 사례…….. 2.2.1. AndarLoader…….. 2.2.2. DurianBeacon3. 최근 공격 사례들의 연관성4. Andariel 그룹의 과거 공격 사례들과의 연관성5. 결론 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는…
MS-SQL 서버 대상 Proxyjacking 공격 사례 분석 Posted By Sanseo , 2023년 8월 16일 AhnLab Security Emergency response Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 하는 Proxyjacking 공격 사례를 확인하였다. 외부에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버들은 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 일반적으로 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 무차별 대입 공격이나 사전 공격을 통해 로그인에 성공할 경우 감염 시스템에 악성코드를 설치할 수 있다. 해당 공격자는 과거부터 MS-SQL 서버를 대상으로 LoveMiner를 설치하고 있으며 Proxyjacking 공격과 Cryptojacking 공격을 함께 수행하는 것이 특징이다. 최근 공격과 비교해서 차이점이…