국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드 Posted By Sanseo , 2023년 9월 5일 BlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서 BlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는 제작자가 중국어 사용자일 가능성을 보여준다. BlueShell이 공격에 사용된 것으로 알려진 사례는 SparkRAT이나 Sliver C2 등 깃허브에 공개되어 있는 다른 악성코드들과 달리 많지 않다. 하지만 실제 국내 공격 사례들을 확인해 보면 다양한 공격자들이 BlueShell을 꾸준히 공격에 사용하고 있는 것이 눈에 띈다. AhnLab Security…
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인 Posted By kingkimgim , 2023년 1월 31일 0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드…
