Trigona 공격자의 최신 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 과거 “Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자”[1] 포스팅을 통해 Trigona 공격자의 MS-SQL 서버 대상 공격 사례를 다루었다. 해당 공격 사례에서는 Trigona 랜섬웨어뿐만 아니라 Mimic 랜섬웨어가 함께 사용되었지만 Mimic의 랜섬노트에서 사용한 공격자의 이메일 주소가 다른 공격 사례들에서 확인되지 않은 반면 Trigona의 랜섬노트에는 2023년 초부터 Trigona 랜섬웨어 공격자가
SVF DDoS Bot을 설치하는 리눅스 SSH 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)에서는 다수의 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격 증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이를 대상으로 공격을 수행하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 SVF Botnet이라는
프록시를 설치하는 리눅스 SSH 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격 증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이러한 시스템을 공격 대상으로 하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 리눅스 서버를
계정 비밀번호 크랙 도구로 위장한 랜섬웨어 주의 (확장자 .NS1419로 변경)
AhnLab SEcurity intelligence Center(ASEC)은 최근 계정 비밀번호 크랙 도구로 위장하여 유포되는 랜섬웨어를 발견했다. 이러한 비밀번호 크랙 도구는 주로 브루트 포스(Brute Force) 공격에서 활용된다. 브루트 포스(Brute Force) 공격은 가능한 모든 조합을 무차별적으로 시도하여 올바른 비밀번호를 찾아내는 방식으로, 공격자는 시스템의 인증 절차를 반복적으로 시도해 비밀번호를 탈취하려고 한다. 이 방식은 특히 짧거나 단순한 비밀번호를
Ammyy Admin을 설치하는 MS-SQL 서버 대상 공격 사례
AhnLab SEcurity intelligence Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Ammyy Admin을 설치하는 공격 사례를 확인하였다. Ammyy Admin은 원격 제어 도구로서 AnyDesk나 ToDesk, TeamViwer 등과 함께 원격에서 시스템을 제어하기 위한 목적으로 사용된다. 이러한 도구들은 정상적으로 사용할 경우 기업 및 개인이 원격에 위치한 시스템들을 관리하고 제어할 수 있다. 하지만 원격에서
리눅스 SSH 서버 대상 cShell DDoS Bot 공격 사례 (screen, hping3)
AhnLab Security intelligence Center(ASEC)에서는 다수의 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격 증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이를 대상으로 공격을 수행하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 리눅스 서버를
HiveOS를 공격하여 Ravencoin을 채굴하는 공격 사례 분석
AhnLab Security intelligence Center(ASEC)에서는 다수의 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이를 대상으로 공격을 수행하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 HiveOS를 대상으로 한
리눅스 백도어 계정을 설치하는 공격자들
AhnLab SEcurity intelligence Center(ASEC)은 리눅스 SSH 허니팟을 활용하여 불특정 다수의 리눅스 시스템을 대상으로 한 공격을 모니터링하고 있다. 공격자들은 기본적으로 설정되어 있거나 단순한 형태의 비밀번호를 사용하는 부적절하게 관리되고 있는 리눅스 시스템들을 무차별 대입 공격 및 사전 공격하여 악성코드들을 설치하고 있다. 웜, 코인 마이너 및 DDoS Bot을 설치하는 다양한 공격 사례들이 존재하지만
리눅스 SSH 서버를 대상으로 스캐너 악성코드를 설치하는 공격 사례 분석
AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 캠페인들을 분석하여 ASEC 블로그에 공개하고 있다. 공격자들은 DDoS Bot, CoinMiner 등의 악성코드들을 설치하기 이전에 공격 대상에 대한 정보 즉 IP 주소와 SSH 자격 증명 정보를 획득할 필요가 있다. 이를 위해 IP를 스캐닝 하면서 SSH 서비스 즉
리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다.
