국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 PC방을 대상으로 코인 마이너를 설치하고 있는 공격 사례를 확인하였다. 공격자는 2022년부터 활동한 것으로 추정되며 PC방 대상 공격은 2024년 하반기부터 발생하고 있다. 초기 침투 방식은 알 수 없으며 대부분의 공격이 PC방 관리 프로그램이 설치된 시스템을 대상으로 하였다. 공격 과정에서는 감염 시스템을 제어하기 위한 목적으로 Gh0st
코인 마이너와 함께 설치되는 PyBitmessage 백도어 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 모네로 코인마이너와 함께 배포되는 새로운 유형의 백도어 악성코드를 포착했다. 이번 블로그에서 다룰 악성코드는 전통적인 HTTP 통신 및 IP connect 방식 대신, PyBitmessgae 라이브러리를 활용해 P2P(Peer to Peer) 네트워크 상에서 통신을 수행하며, 통신 내용을 종단 간 암호화한다. 이를 통해 중앙 집중형 서버가 남기는 흔적을 은닉하여 기존 안티바이러스
2025년 1분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
AhnLab EDR을 활용한 USB로 전파되는 국내 코인마이너 유포 사례 탐지
1. 개요 코인마이너는 주로 암호화폐를 채굴하기 위해 사용자의 컴퓨터 CPU와 GPU 자원을 몰래 사용하며, 이로 인해 컴퓨터 성능이 저하된다. 코인마이너는 주로 피싱 이메일, 악성 웹사이트, 시스템 취약점 등을 통해 유포되며, 해당 악성코드에 대한 분석은 ASEC Blog에서도 다룬 바[1] 있다. 이번 글에서는 앞서 포스팅한 글에서 분석된 코인마이너의 악성 행위를 자사 EDR
2024년 4분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
Larva-24011 공격자의 최신 공격 동향 분석 보고서
1. 개요 Larva-24011 공격자는 금전적 수익을 목적으로 취약한 시스템들을 공격해 CoinMiner와 Proxyware를 설치하고 있다. ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24011 공격자의 활동을 모니터링하던 중 CoinMiner와 Proxyware를 설치하는 목적 외에도 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하는 등 감염 시스템을 제어하고 정보를 탈취하는 공격 사례가 늘고 있는 것을 확인하였다. 부적절하게
HiveOS를 공격하여 Ravencoin을 채굴하는 공격 사례 분석
AhnLab Security intelligence Center(ASEC)에서는 다수의 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이를 대상으로 공격을 수행하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 HiveOS를 대상으로 한
리눅스 SSH 서버를 대상으로 유포 중인 SuperShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 백도어 악성코드인 SuperShell을 설치하는 공격 사례를 확인하였다. SuperShell은 중국어를 사용하는 개발자에 의해 제작되었으며 Go 언어로 개발되어 윈도우와 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 실질적인 기능은 리버스 쉘이며 공격자는 이를 이용해 감염 시스템을 원격에서 제어할 수 있다. Figure 1.
HFS(HTTP File Server) 서버 대상 공격 사례 (CVE-2024-23692 추정)
HFS(HTTP File Server)는 단순한 형태의 웹 서비스를 제공해 주는 프로그램이다. 직접 웹 서버를 구축할 필요 없이 실행 파일만으로 웹 서비스를 제공할 수 있기 때문에 파일 공유 목적으로 자주 사용되며 사용자들 또한 웹 브라우저를 통해 주소에 접속해 파일을 쉽게 다운로드할 수 있다. HFS를 사용할 경우 사용자들이 HFS 웹 서버에 접속해 파일을
국내 웹 서버 대상 코인 마이너 공격 사례 분석
웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 과거부터 공격자들의 대표적인 공격 대상이 되어 왔다. AhnLab SEcurity intelligence Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있으며 확인된 공격 사례들을 블로그를 통해 공개하고 있다. ASEC은 최근 국내 의료
