후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft) Posted By gygy0101 , 2023년 9월 4일 ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서 사용된 명령어가 동일하게 확인되었다. 이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과…
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 Posted By Sanseo , 2023년 7월 3일 Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다. 1. 개요 Rekoobe은 리눅스 환경을 대상으로 하는 백도어 악성코드이다. 2015년에 최초로 확인되었으며, [1] 2018년에는 업데이트된 버전이 공격에 사용되고 있는 사례가 존재한다. [2] ELF 포맷의 Rekoobe은 아키텍처가 x86, x64 그리고 SPARC인 것을 보아 주로 리눅스 서버를…
Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용 Posted By gygy0101 , 2023년 4월 19일 Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드 국내 유포는 지난 2021년부터 확인되었으며, 진단 우회를 위해 다양한 형태로 변형되고 있다. 최근에 확인된 유형의 전체적인 동작 과정은 [그림 1] 과 같으며, ReVBShell 을 통해 공격자의 명령을 받는 과정까지는 기존과…
다양한 원격 제어 도구들을 악용하는 공격자들 Posted By Sanseo , 2022년 10월 11일 개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인 악성코드 중 하나이다. 백도어는 감염 시스템에 설치되어 공격자로부터 명령을 받아 악성 행위를 수행할 수 있으며 이를 통해 공격자는 감염 시스템을 장악할 수 있다. 이러한 백도어 유형의 악성코드는 단독 시스템뿐만 아니라…
국내 대학교 대상으로 악성 CHM 유포 중 Posted By ASEC , 2022년 7월 26일 ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. [그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를…
