2024년 1월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다. 금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다뤘다. 또한 다크웹에서 발생한 금융 관련 주요 위협과
리눅스 백도어 계정을 설치하는 공격자들
AhnLab SEcurity intelligence Center(ASEC)은 리눅스 SSH 허니팟을 활용하여 불특정 다수의 리눅스 시스템을 대상으로 한 공격을 모니터링하고 있다. 공격자들은 기본적으로 설정되어 있거나 단순한 형태의 비밀번호를 사용하는 부적절하게 관리되고 있는 리눅스 시스템들을 무차별 대입 공격 및 사전 공격하여 악성코드들을 설치하고 있다. 웜, 코인 마이너 및 DDoS Bot을 설치하는 다양한 공격 사례들이 존재하지만
2023년 4분기 악성코드 위협 통계 보고서
개요AhnLab SEcurity intelligence Center(ASEC)에서는 자사의 자동 분석 시스템인 RAPIT를 활용하여 다양한 경로를 통해 수집된 악성코드들에 대한 분류 및 대응 진행하고 있다.이 글에서는 2023년 4분기 동안 수집된 악성코드들 중에서 알려진 악성코드들에 대한 분류 및 통계를 다룬다.통계 대상이 되는 악성코드들은 실행 파일 포맷을 대상으로 하며, 유형별로 악성코드 분류 및 점유율 통계와 간략한
개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni)
AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다.
수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다. 수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다. 수입신고서_날인.jse 파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석
Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다. 1. 개요 Rekoobe은 리눅스
Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용
Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드
다양한 원격 제어 도구들을 악용하는 공격자들
개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인
국내 대학교 대상으로 악성 CHM 유포 중
ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. 문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) – ASEC BLOG ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서
