AhnLab EDR을 활용한 Akira 랜섬웨어 공격 사례 탐지
Akira는 상대적으로 새롭게 등장한 랜섬웨어 공격자로서 2023년 3월부터 활동하고 있다. 다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화할 뿐만 아니라 민감한 정보를 탈취해 협상에 사용한다. 실제 다음과 같은 2024년 통계에서도 Akira 랜섬웨어에 의한 피해 기업의 수가 상위권을 차지하고 있다. [1] Figure 1. 2024년 랜섬웨어 피해 통계 공격자는 랜섬웨어를 통해
AhnLab EDR을 활용한 Proxy 도구 탐지
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염
Kimsuky 그룹의 신규 백도어 등장 (HappyDoor)
목차 개요 유포 방식 및 변화 유포 방식 HappyDoor의 변화 상세 분석 요약 특징 레지스트리(Registry) 데이터 패킷 데이터 패킷 구조 및 서버 동작 방식 기능 정보 탈취 백도어 결론 본 보고서에서는 AhnLab TIP(AhnLab Threat Intelligence Platform)에 소개된 ‘Kimsuky 그룹의 HappyDoor 악성코드 분석 보고서‘의 요약 본으로 침해 사고 분석에 필요한
