인증서 검증 우회를 통한 Legacy Driver Exploitation 공격 사례
1. 개요 2024년 6월, 보안 업체 CheckPoint-Research(CPR)는 Legacy Driver Exploitation 기법을 사용하는 보안 위협을 발표했다. 이 공격은 주로 Gh0stRAT 악성코드를 통해 감염된 시스템을 원격으로 제어하고 추가적인 피해를 발생시켰다. 공격자는 피싱 사이트와 메시징 앱을 이용해 악성코드를 유포하고 DLL 사이드로딩 기법을 사용해 추가 페이로드를 로드한다. 변조된 TrueSight.sys 드라이버를 사용해 Microsoft의 드라이버 차단
Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD
Sliver는 Go 언어로 개발된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구들로는 대표적으로 코발트 스트라이크와 Metasploit이 있으며 실제 많은 공격자들이 애용하고 있고 ASEC 블로그에서도 다양한 공격 사례들을 다룬 바 있다. 최근에는 코발트 스트라이크나 Metasploit 외에도 공격자들이 Sliver를 사용하는 사례들이 확인되고 있다. ASEC (AhnLab Security Emergengy response Center) 분석팀은 취약점이 패치되지
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서
북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격
