RDP Wrapper를 활용한 Kimsuky 그룹의 지속적인 위협
AhnLab SEcurity intelligence Center(ASEC)은 과거 “PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석” [1] 보고서를 통해 PebbleDash 백도어와 자체 제작한 RDP Wrapper를 활용하는 Kimsuky 그룹의 공격 사례를 공개한 바 있다. Kimsuky 그룹은 최근까지도 동일한 유형의 공격을 지속적으로 수행하고 있으며 여기에서는 추가적으로 확인된 악성코드들을 정리한다. 1. 개요 공격자는
2024년 4분기 윈도우 웹 서버 대상 악성코드 통계 보고서
개요 AhnLab SEcurity intelligence Center(ASEC)에서는 자사 AhnLab Smart Defense(ASD) 인프라를 활용하여 부적절하게 관리되고 있는 윈도우 웹 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 이 글에서는 이 글에서는 2024년 4분기에 확인된 로그를 기반으로 공격 대상이 된 윈도우 웹 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를
2024년 4분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
AhnLab EDR을 활용한 Proxy 도구 탐지
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염
Larva-24011 공격자의 최신 공격 동향 분석 보고서
1. 개요 Larva-24011 공격자는 금전적 수익을 목적으로 취약한 시스템들을 공격해 CoinMiner와 Proxyware를 설치하고 있다. ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24011 공격자의 활동을 모니터링하던 중 CoinMiner와 Proxyware를 설치하는 목적 외에도 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하는 등 감염 시스템을 제어하고 정보를 탈취하는 공격 사례가 늘고 있는 것을 확인하였다. 부적절하게
PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형
noMu Backdoor를 이용한 APT 공격 사례 분석 보고서
AhnLab SEcurity intelligence Center(ASEC)은 최근 알려지지 않은 공격자가 국내 사용자와 시스템들을 대상으로 다양한 원격 제어 악성코드들을 설치하는 공격 사례를 확인하였다. 공격자는 다양한 리버스 쉘, 백도어, VNC 악성코드들을 사용하였으며 이외에도 원격 화면 제어를 위해 RDP를 사용하기도 하였다. 공격자가 제작한 것으로 추정되는 악성코드 중에는 출력 결과를 한글 인코딩으로 변환하는 코드가 존재하는 것을
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업 및 기관을 대상으로 한 Andariel 그룹의 APT 공격 사례를 확인하였다. 공격 대상으로 확인된 조직들은 국내 제조업, 건설 업체 및 교육 기관이었으며, 백도어뿐만 아니라 키로거, 인포스틸러 그리고 프록시 도구들이 공격에 사용되었다. 공격자는 이러한 악성코드들을 이용해 감염 시스템을 제어하고 시스템에 존재하는 데이터를 탈취할 수
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른
중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
