UNC5174 그룹의 Discord Bot 백도어 악성코드
ASEC(AhnLab Security Intelligence Center)은 최근 Discord API를 이용해 C2(Command and Control) 체계를 구축한 백도어 악성코드가 사용된 공격 사례(UNC5174 그룹[1])를 발견했다. UNC5174 공격그룹은 초기 침투 이후 장기적인 통제권을 유지하기 위해 여러 유형의 백도어를 순차적으로 배치하는 운영 방식을 사용한다. 실제 침해사고 분석 과정에서, 공격자는 먼저 vshell 등 기존에 사용하던 백도어로 대상 시스템에
모네로 코인을 채굴하는 ViperSoftX 공격자
AhnLab SEcurity intelligence Center(ASEC)은 ViperSoftX 공격자가 모네로 코인을 채굴하는 코인 마이너를 설치하고 있는 것을 확인하였다. ViperSoftX는 암화 화폐 지갑 주소를 탈취하는 기능을 포함하는 원격 제어 악성코드이다. 해당 공격자는 주로 정상 소프트웨어의 크랙이나 키젠을 위장하거나 eBook을 위장해 악성코드를 유포하였으며 ViperSoftX 외에도 QuasarRAT이나 PureRAT(PureHVNC), ClipBanker 등 원격 제어 및 암호 화폐 지갑
VPN 홈페이지에서 유포 중인 NKNShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 국내 VPN 업체의 홈페이지에서 악성코드가 업로드되어 있는 것을 확인하였다. 해당 공격은 악성코드 유포 방식이나 사용된 악성코드 등의 특징으로 보아 2023년부터 국내 VPN 업체를 공격해 악성코드를 유포했던 공격자와 동일한 소행으로 보인다. 과거 사례에서 공격자는 최종적으로 SparkRAT, MeshAgent, Sliver와 같은 백도어 악성코드를 설치해 감염 시스템을 제어하였는데 최근 확인된
2025년 10월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 10월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 10월 APT 국내 공격 통계 국내에서 확인된 APT 공격의 대부분은 Spear Phishing
LogMeIn과 PDQ Connect를 악용한 악성코드 유포 사례
AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구인 LogMeIn Resolve(GoTo Resolve)와 PDQ Connect를 악용한 공격 사례를 확인하였다. 최초 유포 과정은 알 수 없지만 정상 프로그램을 위장한 웹 사이트에서 다운로드되어 설치되었으며 이후 정보 탈취 기능을 포함하는 추가적인 악성코드를 함께 설치하는 것이 특징이다. 1. 유포 방식 LogMeIn의 최초 유포
정상 서명을 가진 백도어 악성코드, Steam 정리 툴로 위장하여 유포 중
유명 게임 플랫폼 Steam 클라이언트 정리 툴 “SteamCleaner”로 위장한 악성코드가 다수 유포 중이다. 해당 악성코드에 감염될 경우 악성 Node.js 스크립트가 사용자 PC에 상주하게 되고, C2와 주기적으로 통신하며 공격자의 명령을 실행할 수 있다. SteamCleaner는 Steam 클라이언트의 찌꺼기 파일을 정리해 주는 오픈소스 툴로, 2018년 9월을 마지막으로 더 이상 업데이트가 되지 않는
Sharpire를 설치하는 ActiveMQ 취약점 공격 사례 (Kinsing)
AhnLab SEcurity intelligence Center(ASEC)은 Kinsing 공격자가 최근까지도 알려진 취약점을 이용해 악성코드를 유포 중인 것을 확인하였다. 공격자는 ActiveMQ의 CVE-2023-46604 취약점이 공개된 이후부터 이를 공격하여 악성코드를 설치해 왔으며 리눅스뿐만 아니라 윈도우 시스템도 그 대상이다. [1] 최신 공격 사례에서 사용된 악성코드들로는 이미 알려진 XMRig나 Stager뿐만 아니라 Sharpire가 있다. Sharpire는 Powershell Empire를 지원하는 닷넷
2025년 3분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 3분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고
2025년 8월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 8월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 8월 APT 국내 공격 통계 국내에서 확인된 APT 공격의 대부분은 Spear Phishing
2025년 7월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 7월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 7월 APT 국내 공격 통계 국내에서 확인된 APT 공격의 대부분은 Spear Phishing
