국내 기업을 타겟으로 유포 중인 코발트 스트라이크

코발트 스트라이크(Cobalt Strike)는 상용 침투 테스트 도구이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 각 단계별로 다양한 기능들을 지원한다. 하지만 크랙 버전이 공개됨에 따라 다양한 공격자들에 의해 악성코드로서 사용되고 있으며, 특히 다수의 랜섬웨어 공격자들이 내부 시스템 장악을 위한 중간 단계로써 사용하고 있는 사례가 늘고 있다. 2020년 11월, 코발트 스트라이크의 소스 코드가 유출되었고 최신 크랙 버전도 유포됨에 따라 더 많은 공격자들에게 사용될 것으로 보여 국내도 각별히 주의가 필요하다. 최근 ASEC 분석팀은 코발트…

ASEC 주간 악성코드 통계 ( 20210308 ~ 20210314 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 8일 월요일부터 2021년 3월 14일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 76.0%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 14.8%, Coin Miner 가 4.3%, 다운로더가 3.0%, 뱅킹 악성코드가 1.8%로 집계되었다. 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 37.4%로 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는…

주의! 매그니베르(Magniber) 랜섬웨어 CVE-2021-26411 취약점으로 국내 유포 중

매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기 위해 자동 대응 및 수집 시스템을 구축 운영 중이며, 해당 시스템을 통해 최신 CVE-2021-26411 취약점 스크립트로 변경한 것을 빠르게 포착할 수 있었다. 해당 취약점은 3월 9일 MS에서 보안패치 배포되었음으로 IE…

국내 MS Exchange Server 취약점 공격 정황 포착

Microsoft 는 지난 3월 2일 MS Exchange Server 와 관련된 아래 7 개의 원격 명령 실행 취약점을 보고하였다. 해당 취약점은 Exchange Server 에 대한 인증, 권한 획득, 파일 쓰기 등 을 통해 임의의 명령을 실행할 수 있게 된다. 또한 해당 공격을 통해 사용자 정보 탈취 및 악성 파일 설치 등의 추가 악성 행위가 가능하며, HAFNIUM 그룹에 의해 활발하게 악용 중이다. MS Exchange Server 취약점 보고https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ MS Exchange Server 취약점– CVE-2021-26855– CVE-2021-26857– CVE-2021-26858– CVE-2021-27065– CVE-2021-26412– CVE-2021-26854– CVE-2021-27078 ASEC 분석팀은 최근 해당…

ASEC 주간 악성코드 통계 ( 20210301 ~ 20210307 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 1일 월요일부터 2021년 3월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.7%로 1위를 차지하였으며, 그 다음으로는 Coin Miner 가 14.5%, RAT (Remote Administration Tool) 악성코드가 9.0%, 다운로더가 4.2%, 랜섬웨어가 0.6%로 집계되었다. 뱅킹 악성코드는 수량이 줄어 집계되지 않았다. Top 1 – Formbook Formbook은 인포스틸러 악성코드로 24.1%를 차지하며 Top 1위에 올랐다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포…