북한 랜섬웨어 한미 합동 사이버보안 권고 관련 안랩 대응 현황
2월 10일 오늘 한미 정보기관이 북한발 랜섬웨어 공격과 관련한 보안 권고문을 발표하였다. 대한민국 국가정보원과 미국 국가안보국(NSA)·연방수사국(FBI)·사이버인프라보안청(CISA)·보건복지부(HHS)이 함께 북한발 사이버 공격에 대한 실태를 알리고, 랜섬웨어로부터 한미 양국을 보호하기 위한 최초의 합동 보고서이다. 제목: 랜섬웨어 공격을 통한 북한의 금전 탈취 수법 보안 권고문: 대한민국 국가사이버안보센터 (NCSC) 바로가기 미국 사이버인프라보안청 (CISA) 바로가기 한미
정상 문서로 위장한 악성코드(kimsuky)
ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인
0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG Contents1. ASP 웹쉘i. ASPXSpy2. 권한 상승2.1. Potato2.2. 취약점 (익스플로잇)3. 프록시 & 포트 포워딩3.1. FRP3.2. HTran(LCX)4.
AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어
다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드
원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)
ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다. 대북관련 본문 내용의 External 링크를 이용한
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서
북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격
국내 기업 대상의 귀신(Gwisin) 랜섬웨어
최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에
특정 군부대 유지보수 업체 대상으로 AppleSeed 유포
ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 발주서, 품의서를 위장한 AppleSeed 유포 – ASEC BLOG ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서
발주서, 품의서를 위장한 AppleSeed 유포
ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash) – ASEC BLOG 본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과
울진 산불 피해 기부 영수증으로 위장한 워드 문서 APT 공격 (Kimsuky)
지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다. 해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자
