(Larva-25003) 웹 서버 대상 IIS 악성코드 유포 사례
개요 2025년 2월, AhnLab SEcurity intelligence Center(ASEC)은 중국어를 사용하는 것으로 추정되는 공격자가 국내 웹 서버를 대상으로 웹 서버 네이티브 악성 모듈을 유포한 정황을 확인하였다. 공격자는 보안 관리가 미흡한 웹 서버에 초기 침투를 시도한 뒤 웹쉘 기능을 수행하는 닷넷(.NET) 로더 악성코드(웹쉘)과 백도어를 이용해 웹 서버를 장악하였다. 이후 마이크로소프트 윈도우IIS(Internet Information
리눅스 대상 공격에 사용되는 Nood RAT 악성코드 분석 (Gh0st RAT 변종)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 리눅스 버전의 Gh0st RAT 변종 악성코드인 Nood RAT이 공격에서 사용되고 있는 것을 확인하였다. 비록 윈도우 버전의 Gh0st RAT과 비교하면 적은 수량이긴 하지만 리눅스 버전의 Gh0st RAT 또한 지속적으로 수집되고 있다. Nood RAT은 과거 코드의 유사성을 기반으로 Gh0st RAT 변종으로 분류되었다. [1] 해당 악성코드는 최근 제작에
취약한 데이터베이스 서버를 대상으로 유포 중인 Gh0stCringe RAT
ASEC 분석팀은 취약한 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 여기에서는 Gh0stCringe[1]라고 하는 RAT 악성코드를 다룬다. Gh0stCringe는 CirenegRAT이라고도 불리는 악성코드로서 Gh0st RAT의 코드를 기반으로 하는 변종 중 하나이다. 2018년 12월경에 처음 확인되었으며 SMB 취약점(ZombieBoy의 SMB 취약점 도구를 사용하여)을 통해 유포되었던 것으로 알려져 있다.[2] 이후 직접적인 연관
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능
ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. 뱅킹악성코드에 포함된 DDoS 공격기능
