국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) Posted By Sanseo , 2024년 3월 19일 AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다. 비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 드로퍼 악성코드의 수집일과 유사한 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였다. Endoor는 이외에도 지속적으로 공격에 사용되고 있는데 과거부터 스피어피싱 공격으로 유포되는 Nikidoor와…
Microsoft 인증서로 서명된 악성코드 유포 주의 Posted By ASEC , 2022년 12월 15일 Microsoft에서 Microsoft 인증서로 서명된 악성코드가 유포되고 내용에 대해 공개하였다.[1] 그 내용에 따르면 Microsoft의 여러 개발자 계정의 유출로 인해 Windows 하드웨어 개발자 프로그램(Windows Hardware Developer Program)에서 인증한 드라이버가 악용되었으며, 피해를 막기 위하여 Microsoft에서는 관련한 계정을 차단하고 보안 업데이트(Microsoft Defender 1.377.987.0 이상)를 적용하였다. Windows에서는 커널 모드 드라이버를 로드 할 때 보안 위험을 방지하기 위하여 서명이 되어있을 경우 로드가 가능하다. 만약 서명되어 있지 않을 경우 로드되지 못하고 오류를 발생시킨다. 따라서 이번에 알려진 악성 드라이버의 기능을 하기 위해서는 서명이 필수적으로 필요했을 것이며, 유효한 Microsoft…
