2026년 1분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
내용. 2026년 1분기 ASEC의 ASD 로그 분석 결과 MS-SQL 및 MySQL을 대상으로 한 공격이 지속적으로 관찰되었다. 공격 수량은 2월에 일시적 감소 후 3월에 다시 증가하는 경향을 보였다. 목적 및 범위. 본 보고서는 2026년 1분기 ASD 로그를 바탕으로 윈도우에 설치된 MS-SQL 서버 및 MySQL 서버를 표적화한 공격의 피해 현황과 사용된 악성코드
2026년 1분기 윈도우 웹 서버 대상 악성코드 통계 보고서
내용. AhnLab SEcurity intelligence Center(ASEC)는 AhnLab Smart Defense(ASD) 로그를 기반으로 2026년 1분기 윈도우 웹 서버 대상 공격 현황과 악성코드 통계를 분석했다. 분석 대상은 윈도우 환경의 Internet Information Services(IIS)와 아파치 톰캣 웹 서버이다. 웹쉘을 통한 명령 실행이 주요 침해 경로이며 권한 상승, 프록시 도구, 백도어, 코인 마이너 등 후속 악성행위가 빈번하게
Notepad++ 도구를 위장해 유포 중인 Proxyware
AhnLab SEcurity intelligence Center(ASEC)은 Proxyjacking 공격을 모니터링하고 있으며 국내에서 확인된 유포 사례 및 IoC들을 지속적으로 공개하고 있다. Proxyware를 유포하고 있는 Larva-25012 공격자는 최근 Notepad++를 위장한 악성코드를 사용하고 있으며 이외에도 Proxyware를 탐색기 프로세스에 인젝션하거나 파이썬을 활용하는 등 탐지를 우회하기 위한 기법이 변경되고 있다. Proxyjacking 공격이란 사용자의 동의 없이 Proxyware를 설치하여
2025년 4분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고
2025년 4분기 윈도우 웹 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center (ASEC)에서는 자사 AhnLab Smart Defense(ASD) 인프라를 활용하여 부적절하게 관리되고 있는 윈도우 웹 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 이 글에서는 이 글에서는 2025년 4분기에 확인된 로그를 기반으로 공격 대상이 된 윈도우 웹 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를
동영상 파일을 위장해 유포 중인 RMM 도구들 (Syncro, SuperOps, NinjaOne 등)
AhnLab SEcurity intelligence Center(ASEC)은 최근 Syncro, SuperOps, NinjaOne, ScreenConnect 등 RMM 도구들을 악용한 공격 사례를 확인하였다. 공격자는 PDF 파일을 유포하였으며 이를 통해 사용자가 구글 드라이브 등을 위장한 유포 페이지에서 RMM 도구를 다운로드해 실행하도록 유도하였다. 악성코드 서명에 사용된 인증서를 보면 공격자는 적어도 2025년 10월부터 유사한 공격을 수행해 온 것으로 보인다.
다양한 코인 마이너 공격 사례가 확인되고 있는 GeoServer
AhnLab SEcurity intelligence Center(ASEC)은 과거 “GeoServer 취약점을 악용하는 코인 마이너 공격 사례” 블로그를 통해 공격자들이 취약점이 패치되지 않은 GeoServer를 공격해 코인 마이너와 NetCat을 설치한 공격 사례를 다루었다. [1] 취약한 GeoServer를 대상으로 한 공격 사례는 최근까지도 지속적으로 확인되고 있으며 모두 코인 마이너를 설치하는 것이 특징이다. 여기에서는 확인된 코인 마이너 설치 사례들을
모네로 코인을 채굴하는 ViperSoftX 공격자
AhnLab SEcurity intelligence Center(ASEC)은 ViperSoftX 공격자가 모네로 코인을 채굴하는 코인 마이너를 설치하고 있는 것을 확인하였다. ViperSoftX는 암화 화폐 지갑 주소를 탈취하는 기능을 포함하는 원격 제어 악성코드이다. 해당 공격자는 주로 정상 소프트웨어의 크랙이나 키젠을 위장하거나 eBook을 위장해 악성코드를 유포하였으며 ViperSoftX 외에도 QuasarRAT이나 PureRAT(PureHVNC), ClipBanker 등 원격 제어 및 암호 화폐 지갑
VPN 홈페이지에서 유포 중인 NKNShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 국내 VPN 업체의 홈페이지에서 악성코드가 업로드되어 있는 것을 확인하였다. 해당 공격은 악성코드 유포 방식이나 사용된 악성코드 등의 특징으로 보아 2023년부터 국내 VPN 업체를 공격해 악성코드를 유포했던 공격자와 동일한 소행으로 보인다. 과거 사례에서 공격자는 최종적으로 SparkRAT, MeshAgent, Sliver와 같은 백도어 악성코드를 설치해 감염 시스템을 제어하였는데 최근 확인된
2025년 10월 인포스틸러 동향 보고서
본 보고서는 2025년 10월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다. 1) 데이터 출처 및 수집 방법 ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해,
