AhnLab EDR을 활용한 최신 RMM 유포 사례 탐지
EndPoint

AhnLab EDR을 활용한 최신 RMM 유포 사례 탐지

AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구들을 악용한 공격 사례가 늘어나고 있는 것을 확인하였다. 과거에는 최초 침투 이후 제어를 탈취하기 위한 공격 과정에서 원격 제어 도구들을 악용해 왔다면 최근에는 최초 유포 단계에서도 RMM 도구를 활용할 정도로 다양한 공격 사례들에서 악용되는 중이다. 여기에서는 최근 확인된 RMM 악용 사례들과

  • 1월 23 2026
React2Shell: 최신 웹 프레임워크를 위협하는 심각한 RCE 취약점 (CVE-2025-55182)
트렌드 취약점

React2Shell: 최신 웹 프레임워크를 위협하는 심각한 RCE 취약점 (CVE-2025-55182)

개요 2025년 12월, 웹 개발 생태계를 뒤흔든 심각한 보안 취약점, React2Shell이 공개되었다. 이 취약점은 React Server Components와 Flight 프로토콜을 사용하는 애플리케이션에서 발생하며, 공격자는 단 한 번의 HTTP 요청으로 서버에서 임의 코드를 실행할 수 있다. CVSS 점수는 10.0 (Critical)로 평가되었고, 인증 없이 공격이 가능하다는 점에서 그 파급력은 매우 크다.본 글은 React2Shell(CVE-2025-55182)의

  • 12월 19 2025
AhnLab EDR을 활용한 Akira 랜섬웨어 공격 사례 탐지
EndPoint

AhnLab EDR을 활용한 Akira 랜섬웨어 공격 사례 탐지

Akira는 상대적으로 새롭게 등장한 랜섬웨어 공격자로서 2023년 3월부터 활동하고 있다. 다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화할 뿐만 아니라 민감한 정보를 탈취해 협상에 사용한다. 실제 다음과 같은 2024년 통계에서도 Akira 랜섬웨어에 의한 피해 기업의 수가 상위권을 차지하고 있다. [1] Figure 1. 2024년 랜섬웨어 피해 통계 공격자는 랜섬웨어를 통해

  • 2월 10 2025
AhnLab EDR을 활용한 USB로 전파되는 국내 코인마이너 유포 사례 탐지
EndPoint

AhnLab EDR을 활용한 USB로 전파되는 국내 코인마이너 유포 사례 탐지

1. 개요 코인마이너는 주로 암호화폐를 채굴하기 위해 사용자의 컴퓨터 CPU와 GPU 자원을 몰래 사용하며, 이로 인해 컴퓨터 성능이 저하된다. 코인마이너는 주로 피싱 이메일, 악성 웹사이트, 시스템 취약점 등을 통해 유포되며, 해당 악성코드에 대한 분석은 ASEC Blog에서도 다룬 바[1] 있다. 이번 글에서는 앞서 포스팅한 글에서 분석된 코인마이너의 악성 행위를 자사 EDR

  • 2월 07 2025
보안 권고문

Moxa 제품 보안 업데이트 권고

개요 Moxa 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트...

  • 1월 14 2025
AhnLab EDR을 활용한 Proxy 도구 탐지
EndPoint

AhnLab EDR을 활용한 Proxy 도구 탐지

공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염

  • 11월 26 2024
AhnLab EDR을 활용한 BlueKeep 공격 탐지
EndPoint

AhnLab EDR을 활용한 BlueKeep 공격 탐지

BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다. 여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.

  • 10월 24 2024
AhnLab EDR을 활용한 리눅스 지속성 유지 기법 탐지 (1)
EndPoint

AhnLab EDR을 활용한 리눅스 지속성 유지 기법 탐지 (1)

지속성 유지 기법은 공격자가 시스템에 침투한 이후 지속적인 활동을 유지하기 위해 사용하는 기법이다. 한 번의 침해로 모든 목표를 달성하기 어려울 수 있기 때문에 공격자는 시스템에 다시 접근할 수 있는 방식을 보장하길 원할 수 있다. 이에 따라 악성코드가 시스템의 재부팅 이후에도 동작할 수 있도록 다양한 방식들을 통해 설정하거나 백도어 계정을 설치하는

  • 9월 30 2024
SnakeKeylogger 악성코드의 EDR 탐지
EndPoint

SnakeKeylogger 악성코드의 EDR 탐지

1. 개요 SnakeKeylogger는 닷넷 언어로 제작된 Infostealer 유형의 악성코드로, 이메일, FTP, SMTP 또는 Telegram 등을 이용한 데이터 유출 방법을 가지고 있는 것이 특징이다. SnakeKeylogger는 과거부터 스팸 메일로 꾸준히 유포되고 있으며, 해당 악성코드에 대한 분석을 ASEC Blog에서도 다룬 바[1] 있다. 이번 글에서는 앞서 포스팅 한 글에서 분석된 SnakeKeylogger의 악성 행위를 자사

  • 7월 30 2024
AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (2)
EndPoint

AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (2)

이전 블로그 “AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (1)” [1] 에서는 공격자 및 악성코드가 리눅스 서버를 공격한 이후 방화벽이나 보안 모듈과 같은 보안 서비스를 무력화하고 설치한 악성코드들을 은폐하는 방식들을 다루었다. 여기에서는 이전 블로그에서 다루지 않은 리눅스 대상 방어 회피(Defense Evasion) 기법들을 추가적으로 다룬다. 예를 들어 악성코드를

  • 6월 27 2024