자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할…
공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 VestCert 2.3.6 ~ 2.5.29 버전 …
라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll) Posted By ASEC , 2022년 10월 6일 ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다. 라자루스 그룹이 악용한 정상 프로세스…
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서 Posted By ASEC , 2022년 9월 22일 북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…
Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped) Posted By ASEC , 2022년 5월 12일 작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무…