AhnLab EDR을 활용한 리눅스 PAM 악용 악성코드 공격 탐지
PAM (Pluggable Authentication Modules)은 su, sudo, sshd와 같은 응용 프로그램이 인증과 같은 보안 정책 로직을 직접 구현하지 않고도 수행할 수 있게 해주는 모듈형 프레임워크이다. 응용 프로그램은 libpam 라이브러리에 인증을 위임하며 해당 라이브러리에서 설정 정보에 따라 PAM 모듈을 로드하여 실행한 뒤 결과를 취합하는 방식이다. 예를 들어 OpenSSH 서버 프로세스인 sshd에 로그인
카드사 보안메일 인증창을 위장하여 정보를 탈취하는 악성 LNK 유포 주의
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 카드사 보안메일 인증창을 위장하여 사용자 정보를 탈취하는 악성 LNK 파일이 유포 중인 정황을 확인하였다. 확인된 악성 LNK 파일은 다음과 같이 카드사를 위장한 파일명을 가지고 있다. **card_detail_20250610.html.lnk 그동안에는 파워쉘 스크립트를 활용해 키로깅 및 정보 탈취를 수행하였으나, 금번에는 DLL 파일을 다운로드하여 키로깅 및 정보 탈취를
2025년 6월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 6월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 6월 APT 국내 공격 통계 국내에서 확인된 APT 공격의
2025년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 2분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의
스테가노그래피 기법을 이용해 유포중인 XwormRAT
AhnLab SEcurity intelligence Center(ASEC)는 자체 구축한 “이메일 허니팟 시스템”을 통해 피싱 이메일을 통해 유포되는 악성코드에 대한 정보를 수집하고 있으며, 이를 기반으로 ASEC Blog를 통해 매월 “피싱 이메일 동향 보고서” 및 “인포스틸러 동향 보고서”로 공개하고 있다. 그러던 중 최근 XwormRAT 악성코드가 스테가노그래피 기법을 활용하여 유포되고 있음을 확인하였다. 해당 악성코드는 VBScript
2025년 5월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 5월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 5월 APT 국내 공격 통계 국내 유포가 확인된 APT
암호 화폐 사용자들을 대상으로 공격 중인 ViperSoftX
AhnLab SEcurity intelligence Center(ASEC)은 ViperSoftX 공격자가 국내 사용자들을 대상으로 지속적으로 악성코드를 유포하고 있는 것을 확인하였다. ViperSoftX는 감염 시스템에 상주하면서 공격자의 명령을 실행하거나 암호 화폐 관련 정보를 탈취하는 기능을 담당하는 악성코드이다. ASEC은 2024년 5월 ViperSoftX 공격자의 공격 사례를 분석해 공개하였으며 해당 사례에서는 원격 제어 악성코드인 Quasar RAT과 딥러닝 방식의 오픈 소스
코인 마이너와 함께 설치되는 PyBitmessage 백도어 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 모네로 코인마이너와 함께 배포되는 새로운 유형의 백도어 악성코드를 포착했다. 이번 블로그에서 다룰 악성코드는 전통적인 HTTP 통신 및 IP connect 방식 대신, PyBitmessgae 라이브러리를 활용해 P2P(Peer to Peer) 네트워크 상에서 통신을 수행하며, 통신 내용을 종단 간 암호화한다. 이를 통해 중앙 집중형 서버가 남기는 흔적을 은닉하여 기존 안티바이러스
2025년 4월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 4월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 4월 APT 국내 공격 통계 국내 유포가 확인된 APT
최근 해킹 공격에 악용된 BPFDoor, KISA 공지 해시에 대한 안랩 탐지 정보
BPFDoor는 리눅스 시스템을 대상으로 하는 백도어 악성코드로 안랩에서는 지난 2024년 10월, ASEC 블로그를 통해 해당 악성코드에 대한 자사 EDR 탐지 정보를 공개한 바 있다. KISA 에서는 최근 해킹 공격에 악용된 BPFDoor 악성코드에 대한 위협정보 공유 및 주의를 공지하였으며, KISA 에서 1, 2차로 공개한 해시에 대한 V3 진단 정보는 다음과 같다.
