국내 사용자 대상 크랙 위장 악성코드 분석 보고서
개요 AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT ” 블로그를 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 새롭게 악성코드를 제작해 악성코드들을 유포하고 있으며 자사 인프라 기준 현재 최소한 2만여 대가 넘는 시스템이
2024년 1분기 악성코드 위협 통계 보고서
개요 ASEC 분석팀에서는 자동 분석 시스템 RAPIT을 활용하여 다양한 경로를 통해 수집된 악성코드들에 대한 분류 및 대응을 진행하고 있다. 이 보고서에서는 2024년 1분기 동안 수집된 악성코드들 중에서 알려진 악성코드들에 대한 분류 및 통계를 다룬다. 통계 대상이 되는 악성코드들은 실행 파일 포맷을 대상으로 하며, 유형별로 악성코드 분류 및 점유율 통계와
게임핵을 통해 설치되는 XMRig 코인마이너
AhnLab SEcurity intelligence Center(ASEC)은 최근 게임핵을 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이와 같은 과정은 과거에 소개한 웹하드 플랫폼을 활용하여 XMRig 코인마이너를 유포하는 방식과 유사하다. [1] [2] 1. 유포 경로 코인마이너가 유포된 경로는 유명 게임들의 게임핵을 배포하는 사이트로 확인되었으며, 해당 사이트에는 다수의 유명 게임핵을 위장한 압축파일이 업로드 되어 있다. 또한,
취약점 공격으로 설치되는 Mimo 코인 마이너 with Mimus 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 Mimo라고 불리는 코인 마이너 공격자가 다양한 취약점을 공격하여 악성코드들을 설치하고 있는 정황을 확인하였다. Mimo는 Hezb라고도 불리며 2022년 3월경에 Log4Shell 취약점 공격을 통해 코인 마이너 악성코드를 설치하고 있는 사례가 최초로 확인되었다. 지금까지 알려진 공격 사례는 모두 최종적으로 Mimo Miner Bot이라고 하는 XMRig 코인 마이너를 설치하는 공격이었다.
2023년 4분기 악성코드 위협 통계 보고서
개요AhnLab SEcurity intelligence Center(ASEC)에서는 자사의 자동 분석 시스템인 RAPIT를 활용하여 다양한 경로를 통해 수집된 악성코드들에 대한 분류 및 대응 진행하고 있다.이 글에서는 2023년 4분기 동안 수집된 악성코드들 중에서 알려진 악성코드들에 대한 분류 및 통계를 다룬다.통계 대상이 되는 악성코드들은 실행 파일 포맷을 대상으로 하며, 유형별로 악성코드 분류 및 점유율 통계와 간략한
CobaltStrike를 이용한 아파치 웹 서버 대상 크립토재킹 공격 캠페인
AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. 윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치
이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례
ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다. 0. 개요 코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를
한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT
ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를
취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례
ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를
취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너
ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크–
