웹하드(성인 게임)를 통해 유포중인 xRAT(QuasarRAT) 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 xRAT(QuasarRAT) 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다. 일반적으로 공격자들은 njRAT이나 XwormRAT 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여
지속적으로 공격에 사용 중인 사설 HTS 프로그램
AhnLab SEcurity intelligence Center(ASEC)은 과거 “Quasar RAT을 유포하는 사설 HTS 프로그램” 블로그를 통해 사설 홈트레이딩시스템(HTS : Home Trading System)을 통해 Quasar RAT을 유포하는 공격 사례를 다룬 바 있다. 동일한 공격자는 지속적으로 악성코드를 유포하고 있으며 최근까지도 공격 사례가 확인된다. 악성코드는 과거와 동일하게 HPlus라는 이름의 HTS를 유포하였으며 전체적인 감염 흐름은 유사하지만 NSIS 인스톨러 형태였던 최초
Kimsuky 그룹이 사용하는 Github Repository
개요 AhnLab SEcurity intelligence Center(ASEC)에서는 Kimsuky 그룹의 악성코드를 분석하던 중 특정 GitHub Repository를 발견했다. 확인 결과 2020년부터 유포 중인 FlowerPower 악성코드 유형이 업로드되어 있는 것을 확인했으며 해당 Github로 유출된 사용자 정보가 업로드되어 있으며 과거에 사용한 유형과 동일한 유형[1]임을 확인했으며 분석하는 현 시간(07/05)까지 접근이 가능했다. [그림 1] GitHub Repository
메신저 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 그림 1. 피싱 페이지 (1) 그림 2. 피싱 페이지 (2) 그림 3. 공급망 공격 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치
