스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft)

ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다. 1. 개요 RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로 개인 PC 정보 뿐만 아니라 휴대전화 데이터까지 탈취하는 것으로 알려져있다. 이번 RedEyes 그룹 공격 사례의 주요 특징은 한글 EPS 취약점을 사용한 것과 스테가노그래피 기법을 이용하여 악성코드를 유포했다는 점이다. 공격에 사용된 한글 EPS 취약점은 이미 최신 버전의 한글 워드…

EDR을 활용한 Magniber 랜섬웨어 유포지 추적

안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를 개선하여 적용한 인프라에서 수집되는 정보를 바탕으로 유포지 차단, 파일 진단 등을 통해 피해가 발생하지 않도록 노력하고있다. Magniber 랜섬웨어는 Anti virus 제품의 탐지를 우회하기 위해 지속적으로 변형을 유포하고 있어 실시간 대응을 어렵게 하고 있는만큼 추가 피해를…

북한 랜섬웨어 한미 합동 사이버보안 권고 관련 안랩 대응 현황

2월 10일 오늘 한미 정보기관이 북한발 랜섬웨어 공격과 관련한 보안 권고문을 발표하였다. 대한민국 국가정보원과 미국 국가안보국(NSA)·연방수사국(FBI)·사이버인프라보안청(CISA)·보건복지부(HHS)이 함께 북한발 사이버 공격에 대한 실태를 알리고, 랜섬웨어로부터 한미 양국을 보호하기 위한 최초의 합동 보고서이다. 제목: 랜섬웨어 공격을 통한 북한의 금전 탈취 수법 보안 권고문: 대한민국 국가사이버안보센터 (NCSC)  바로가기 미국 사이버인프라보안청 (CISA)  바로가기 한미 양국은 미국 의료ㆍ공중 보건 분야 및 기타 주요 인프라 분야 담당 기관을 공격한 Maui와 H0lyGh0st 랜섬웨어가 북한발 랜섬웨어로 판단하고, 이와 관련하여 TTP(Tactics, Techniques, and Procedures) 정보와 침해지표(Indicators of Compromise)를 공개하였다. 안랩은…

ASEC 주간 피싱 이메일 위협 트렌드 (20230129 ~ 20230204)

ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 29일부터 02월 04일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….

디스코드 Nitro 코드 생성기를 위장하여 유포 중인 PYbot DDoS 악성코드

공격자들이 악성코드를 유포하는 방식들 중에는 대표적으로 크랙과 같은 불법 소프트웨어를 위장한 사이트를 이용하는 방식이 있다. 공격자가 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장하여 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다. ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을 모니터링하고 있다. 이러한 방식으로 유포되는 악성코드들로는 Vidar, CryptBot, RedLine과 같은 인포스틸러 유형들이 많다. ASEC 분석팀은 최근 PYbot DDoS 악성코드가 불법 소프트웨어와 함께 유포되고 있는 것을 확인하였다. 공격자가 미끼로 사용한 프로그램은…