exploit

국내 기업들의 웹 서비스를 대상으로 하는 APT 공격 사례 분석

웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 본 포스팅에서는 수년간 지속적으로 국내 기업들의 웹 서버를 공격 중인 APT 공격 사례를 정리하였으며, 공격에 사용된 다양한 악성코드 및 도구들의 IoC도 함께 공개한다. 공격자는 대부분의 감염 시스템들에서 “tripod”라는 이름의 계정을 악용하고 있으며 이러한 점은 해당 공격자를 특정할 수 있는 몇 가지…

Microsoft Office Outlook 취약점(CVE-2023-23397) 발현 및 수동 조치 가이드

AhnLab Security Emergency response Center(ASEC)은 최근 Microsoft Office Outlook 취약점 주의를 알린 바 있다. CVE-2023-23397 취약점은 메일을 받고 알림 발생 시 계정 정보가 유출된다. 유출되는 정보는 시스템에 로그인한 계정의 비밀번호 해싱 정보를 포함한 ‘NTLM’ 해시 값으로, 탈취 시 내부 전파 공격 등에 악용될 수 있다. 취약점에 노출되지 않기 위해서는 반드시 보안 패치 적용이 필요하나, MS Outlook의 ‘미리 알림(Reminder)’ 기능 옵션 해제 시 수동 조치가 가능함을 확인하였다. 아래와 같이 해당 취약점을 일으키는 메일에는 알림 소리 기능이 켜져있으며, 유출 정보가 전달될 악성…

취약점 공격으로 유포 중인 PlugX 악성코드

ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin RCE 취약점을 통해 Sliver C2와 XMRig 코인 마이너 그리고 Gh0st RAT 악성코드가 유포되고 있다는 사실을 공개한 바 있다. 참고로 Gh0st RAT 또한 중국에서 개발된 악성코드임에 따라 주로 중국을 기반으로 하는 공격자들이 주로 사용하는…

취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례

ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….

‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…