국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2)
AhnLab SEcurity intelligence Center(ASEC)은 과거 “국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드” [1] 블로그에서 태국과 국내 리눅스 시스템들을 대상으로 한 공격에 사용된 BlueShell 악성코드들을 다루었다. 공격자는 백도어 악성코드인 BlueShell을 커스터마이징하여 공격에 사용하였으며 특정 시스템에서만 동작하도록 조건을 설정하기도 하였다. 해당 블로그가 공개된 후에도 동일한 공격자가 제작한 BlueShell 악성코드들이 VirusTotal을 통해
국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드
BlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서 BlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는 제작자가 중국어 사용자일 가능성을 보여준다. Figure 1. 깃허브에 공개되어 있는 BlueShell BlueShell이
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인
0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG Contents1. ASP 웹쉘i. ASPXSpy2. 권한 상승2.1. Potato2.2. 취약점 (익스플로잇)3. 프록시 & 포트 포워딩3.1. FRP3.2. HTran(LCX)4.
