USB를 통해 지속적으로 유포 중인 코인 마이너 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 2025년 2월 “USB로 전파되는 암호화폐 채굴 악성코드 유포 사례”[1] 보고서를 통해 국내에 코인 마이너 악성코드가 USB를 통해 전파 중인 것을 확인하였다. 2025년 7월에는 Mandiant에서도 동일한 공격 사레를 공개하였으며 설치되는 악성코드들을 DIRTYBULK, CUTFAIL 등으로 분류하였다. [2] 전체적인 공격 방식은 크게 변하지 않았지만 기존 유형과 비교해서 최근에는 새로운
모네로 코인을 채굴하는 ViperSoftX 공격자
AhnLab SEcurity intelligence Center(ASEC)은 ViperSoftX 공격자가 모네로 코인을 채굴하는 코인 마이너를 설치하고 있는 것을 확인하였다. ViperSoftX는 암화 화폐 지갑 주소를 탈취하는 기능을 포함하는 원격 제어 악성코드이다. 해당 공격자는 주로 정상 소프트웨어의 크랙이나 키젠을 위장하거나 eBook을 위장해 악성코드를 유포하였으며 ViperSoftX 외에도 QuasarRAT이나 PureRAT(PureHVNC), ClipBanker 등 원격 제어 및 암호 화폐 지갑
고도화된 탐지 회피 기술을 적용한 악성 앱 분석 보고서
1. 개요 Anti-Virus(AV) 제품을 회피하기 위해 악성 앱 제작자들은 점점 더 다양한 기법을 사용하고 있다. 과거에는 하나의 악성 앱에 모든 악성 행위를 구현하는 방식이 일반적이었지만, 최근에는 기능을 분리하여 추가로 다운로드하거나, 암호화된 파일을 복호화해 로드하는 형태의 앱이 발견되고 있다. 또한, 특정 조건이 충족될 때만 실행되도록 트리거를 설정하고, 그렇지 않으면 대기 상태를
Sharpire를 설치하는 ActiveMQ 취약점 공격 사례 (Kinsing)
AhnLab SEcurity intelligence Center(ASEC)은 Kinsing 공격자가 최근까지도 알려진 취약점을 이용해 악성코드를 유포 중인 것을 확인하였다. 공격자는 ActiveMQ의 CVE-2023-46604 취약점이 공개된 이후부터 이를 공격하여 악성코드를 설치해 왔으며 리눅스뿐만 아니라 윈도우 시스템도 그 대상이다. [1] 최신 공격 사례에서 사용된 악성코드들로는 이미 알려진 XMRig나 Stager뿐만 아니라 Sharpire가 있다. Sharpire는 Powershell Empire를 지원하는 닷넷
2025년 3분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 3분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고
2025년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 2분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의
GeoServer 취약점을 악용하는 코인 마이너 공격 사례
AhnLab SEcurity intelligence Center(ASEC)은 취약점이 패치되지 않은 GeoServer가 최근까지도 지속적인 공격 대상이 되고 있는 것을 확인하였다. 공격자는 취약한 GeoServer를 스캐닝한 후 코인 마이너를 설치하고 있는 것으로 보이며 이를 통해 국내에서도 감염 사례를 확인할 수 있었다. 1. GeoServer 원격 코드 실행 취약점 (CVE-2024-36401) GeoServer는 Java로 작성된 오픈소스 GIS(Geographic Information System)
국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 PC방을 대상으로 코인 마이너를 설치하고 있는 공격 사례를 확인하였다. 공격자는 2022년부터 활동한 것으로 추정되며 PC방 대상 공격은 2024년 하반기부터 발생하고 있다. 초기 침투 방식은 알 수 없으며 대부분의 공격이 PC방 관리 프로그램이 설치된 시스템을 대상으로 하였다. 공격 과정에서는 감염 시스템을 제어하기 위한 목적으로 Gh0st
코인 마이너와 함께 설치되는 PyBitmessage 백도어 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 모네로 코인마이너와 함께 배포되는 새로운 유형의 백도어 악성코드를 포착했다. 이번 블로그에서 다룰 악성코드는 전통적인 HTTP 통신 및 IP connect 방식 대신, PyBitmessgae 라이브러리를 활용해 P2P(Peer to Peer) 네트워크 상에서 통신을 수행하며, 통신 내용을 종단 간 암호화한다. 이를 통해 중앙 집중형 서버가 남기는 흔적을 은닉하여 기존 안티바이러스
2025년 1분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
