2026년 1분기 윈도우 웹 서버 대상 악성코드 통계 보고서
내용. AhnLab SEcurity intelligence Center(ASEC)는 AhnLab Smart Defense(ASD) 로그를 기반으로 2026년 1분기 윈도우 웹 서버 대상 공격 현황과 악성코드 통계를 분석했다. 분석 대상은 윈도우 환경의 Internet Information Services(IIS)와 아파치 톰캣 웹 서버이다. 웹쉘을 통한 명령 실행이 주요 침해 경로이며 권한 상승, 프록시 도구, 백도어, 코인 마이너 등 후속 악성행위가 빈번하게
Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 정상 서버를 침해해 C2로 악용하는 Lazarus 그룹의 공격 사례들을 확인하였다. 국내 웹 서버를 대상으로 웹쉘 및 C2 스크립트를 설치하는 공격 사례들은 지속적으로 발생하고 있으며 나아가 LazarLoader 악성코드와 권한 상승 도구가 확인되는 사례들도 존재한다. 1. C2 스크립트 (Proxy) 2024년 5월 Lazarus 그룹이 국내 웹 서버를 공격해
ViewState를 악용한 Godzilla WebShell 유포 (금융권 대상)
개요 AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 취약한 환경 설정으로 ASP.NET를 운영 중인 금융권 대상의 공격 정황을 확인하였다. ASP.NET에서 지원하는 ViewState 기능은 ASP.NET 모듈에서 직렬화 및 역직렬화 과정을 통해 데이터를 처리한다. 공격자는 이 과정을 악용하여 공격 대상 PC에 WebShell을 설치하였다. 해당 WebShell 악성코드는 분석 결과 Godzilla WebShell 악성코드로 확인되었다. Godzilla
AhnLab EDR을 활용한 IIS 웹 서버 대상 초기 침투 단계 탐지
현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고
국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례
AhnLab SEcurity intelligence Center(ASEC)은 국내 웹 서버 대상으로 불법 도박 광고 사이트 연결을 유도하는 악성코드 유포 정황을 확인하였다. 공격자는 부적절하게 관리되고 있는 국내의 윈도우 IIS(Internet Information Services) 웹 서버 최초 침투 이후 미터프리터 백도어, 포트 포워딩 도구, IIS 모듈 악성코드 도구 설치 및 ProcDump를 이용한 서버의 자격 증명 정보를 탈취하였다.
윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를
국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹
최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드 이번 사례는 IIS 웹서버나 MS Exchange 서버
