exploit

Microsoft Office Outlook 취약점(CVE-2023-23397) 발현 및 수동 조치 가이드

AhnLab Security Emergency response Center(ASEC)은 최근 Microsoft Office Outlook 취약점 주의를 알린 바 있다. CVE-2023-23397 취약점은 메일을 받고 알림 발생 시 계정 정보가 유출된다. 유출되는 정보는 시스템에 로그인한 계정의 비밀번호 해싱 정보를 포함한 ‘NTLM’ 해시 값으로, 탈취 시 내부 전파 공격 등에 악용될 수 있다. 취약점에 노출되지 않기 위해서는 반드시 보안 패치 적용이 필요하나, MS Outlook의 ‘미리 알림(Reminder)’ 기능 옵션 해제 시 수동 조치가 가능함을 확인하였다. 아래와 같이 해당 취약점을 일으키는 메일에는 알림 소리 기능이 켜져있으며, 유출 정보가 전달될 악성…

취약점 공격으로 유포 중인 PlugX 악성코드

ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin RCE 취약점을 통해 Sliver C2와 XMRig 코인 마이너 그리고 Gh0st RAT 악성코드가 유포되고 있다는 사실을 공개한 바 있다. 참고로 Gh0st RAT 또한 중국에서 개발된 악성코드임에 따라 주로 중국을 기반으로 하는 공격자들이 주로 사용하는…

취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례

ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….

‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…

‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포

안랩 ASEC 분석팀은 “제 9대 학회장 선거공고 및 입후보신청서” 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 한글문서 내용(페이지1, 페이지2) 한글문서 내용(페이지3) 악성 EPS 파일이 존재하는 곳은 첫번째 페이지로 아래의 그림에서 붉은색 표시부분으로 일반 사용자가 알 수 없는 형태로 그림개체가 추가된 것을 알 수 있다. 악성 EPS가 숨겨진 부분 (페이지1) 해당 한글문서는 아래의 그림에서 알 수 있듯이…