2025년 3월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 3월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 3월 APT 국내 공격 통계 국내 유포가 확인된 APT
아랍어 기반 공격자에 의한 ViperSoftX 악성코드 유포 정황
AhnLab SEcurity intelligence Center(ASEC)은 아랍어를 사용하는 것으로 추정되는 공격자가 2025년 4월 1일 부터 최근까지 국내 대상으로 다수의 ViperSoftX 악성코드를 유포하는 정황을 확인하였다. ViperSoftX 악성코드는 주로 정상 소프트웨어 크랙 프로그램이나 토렌트로 유포되는 악성코드이다. ViperSoftX의 주요 특징은 파워쉘(PowerShell) 스크립트로 동작하며 C&C 통신 과정에서 URI 경로에 “/api/”, “/api/v1”, “/api/v2”, “/api/v3/”와 같은 파라미터 정보를
대형 운송사의 운송장으로 위장하여 유포되는 Remcos RAT 악성코드
최근 AhnLab SEcurity intelligence Center(ASEC)에서는 대형 운송사의 운송장으로 위장하여 유포되는 Remcos 악성코드를 발견하였다. 해당 블로그에서는 html, javascript, autoit script 로 이어져 최종 Remcos 악성코드 실행까지의 유포 흐름을 설명한다. 하기 [그림 1]은 유포되는 메일의 원본으로 내부에 html 스크립트가 첨부되어 있다. 해당 html 파일은 실행하여 Download 버튼을 클릭하면 [그림 2]와 같이 “747031500
해외 유명 배송업체를 사칭하여 유포되는 피싱 메일 주의 (GuLoader)
최근 AhnLab SEcurity intelligence Center(ASEC)에서는 해위 유명 배송업체를 사칭하여 피싱 메일을 통해 GuLoader 악성코드를 유포하는 사례를 확인했다. 해당 피싱 메일은 ASEC에서 운영 중인 이메일 허니팟을 통해 확보하였다. 이메일 본문에는 사용자가 사후납부통관 세금을 확인해야 한다는 내용과 함께 첨부파일 실행을 요구한다. [그림 1] 피싱 이메일 본문 첨부파일에는 난독화된 VBScript가 포함되어
2025년 2월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 2월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 2월 APT 국내 공격 통계 국내 유포가 확인된 APT 공격에
Android Malware & Security Issue 2024년 11월 1주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 11월 1주차”를 게시한다.
Android Malware & Security Issue 2024년 10월 5주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 10월 5주차”를 게시한다.
Discord Bot으로 동작하는 RAT 악성코드
Discord는 사용자들의 서버를 만들어 커뮤니티를 형성하고 실시간 소통할 수 있으며 음성, 영상, 텍스트 채팅을 지원하는 소셜 플랫폼이다. 주로 게이머들 사이에서 인기를 얻었지만, 현재는 다양한 관심사를 가진 그룹들이 모여 소통하는 공간으로 확장되었다. Discord Bot은 사용자들이 생성한 서버에서 자동으로 특정 작업을 수행하는 프로그램으로, 서버 관리, 메시지 자동 응답, 게임 진행, 음악 재생,
사행성 게임을 위장하여 유포 중인 WrnRAT
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 바둑이, 맞고, 홀덤과 같은 사행성 게임을 위장하여 악성코드가 유포 중인 것을 확인하였다. 공격자는 사행성 게임을 위장한 홈페이지를 제작하였고 만약 게임 접속기를 다운로드할 경우 감염 시스템을 제어하고 정보를 탈취할 수 있는 악성코드를 설치한다. 해당 악성코드는 공격자가 직접 제작한 것으로 보이며 여기에서는 제작에 사용된 문자열을 기반으로
전자책으로 위장하여 유포되는 AsyncRAT
1. 개요 AhnLab SEcurity intelligence Center(ASEC)은 과거 블로그에서 AsyncRAT가 다양한 확장자(.chm, .wsf, .lnk)를 통해 유포된 사례를 소개한 바 있다. [1] [2] 위에 언급한 블로그에서 공격자는 악성코드를 은폐하기위해 ‘설문 조사’ 내용의 정상 문서 파일을 미끼 파일로 활용하는 것을 확인할 수 있는데, 최근에는 전자책을 위장하여 악성코드가 유포된 사례가 확인되었다. 2. 스크립트를 기반으로
