Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황 Posted By Sanseo , 2023년 11월 17일 AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업…
자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹) Posted By song.th , 2023년 11월 10일 ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다. Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1] 이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도…
Lazarus 위협 그룹의 Volgmer, Scout 악성코드 분석 보고서 Posted By Sanseo , 2023년 10월 4일 개요1. Volgmer 백도어 분석…. 1.1. Volgmer 초기 버전…….. 1.1.1. Volgmer 드로퍼 분석…….. 1.1.2. Volgmer 백도어 분석…. 1.2. Volgmer 후기 버전…….. 1.2.1. Volgmer 백도어 분석2. Scout 다운로더 분석…. 2.1. 드로퍼 (Volgmer, Scout)…. 2.2. Scout 다운로더 분석…….. 2.2.1. Scout 다운로더 v1…….. 2.2.2. Scout 다운로더 v23. 결론 목차 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 위협 그룹은 2009년부터 활동이 확인되며 초기에는 한국에서 주로 활동하였지만 2016년 이후에는 전 세계 방위산업, 첨단산업, 금융을 공격하고 있다. Lazarus 그룹은 공격 과정에서 주로 스피어 피싱, 공급망 공격,…
Andariel 그룹의 새로운 공격 활동 분석 Posted By Sanseo , 2023년 8월 22일 목차1. 과거 공격 사례…. 1.1. Innorix Agent 악용 사례…….. 1.1.1. NukeSped 변종 – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. 국내 기업 공격 사례…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped 변종2. 최근 공격 사례…. 2.1. Innorix Agent 악용 사례…….. 2.1.1. Goat RAT…. 2.2. 국내 기업 공격 사례…….. 2.2.1. AndarLoader…….. 2.2.2. DurianBeacon3. 최근 공격 사례들의 연관성4. Andariel 그룹의 과거 공격 사례들과의 연관성5. 결론 주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는…
윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹 Posted By Sanseo , 2023년 7월 14일 AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를 조작한다. 이후 취약한 버전의 INISAFE CrossWeb EX V6를 사용 중인 시스템에서 해당 사이트에 웹 브라우저로 접근할 경우 INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 Lazarus 악성코드(SCSKAppLink.dll)가 설치되는 방식이다. INITECH 취약점은 이미…