웹하드를 통해 유포 중인 njRAT
악성코드

웹하드를 통해 유포 중인 njRAT

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를

  • 3월 01 2022
취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT
악성코드

취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다. 공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로

  • 2월 15 2022
메신저 프로그램으로 위장한 악성코드 주의
악성코드

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 그림 1. 피싱 페이지 (1) 그림 2. 피싱 페이지 (2) 그림 3. 공급망 공격 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치

  • 12월 31 2021
외화송금 통지를 가장한 NanoCore RAT 유포중!
악성코드

외화송금 통지를 가장한 NanoCore RAT 유포중!

ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은

  • 8월 05 2021
스팸 메일로 유포되는 닷넷 다운로더 악성코드
악성코드

스팸 메일로 유포되는 닷넷 다운로더 악성코드

ASEC 주간 악성코드 통계에 따르면 최근 유포되고 있는 악성코드들 다수가 인포스틸러(정보 유출형 악성코드) 및 RAT(Remote Administration Tool) 악성코드들이다. 이러한 인포스틸러 및 RAT의 상당수는 스팸 메일을 통해 유포되며, 대부분 사용자가 첨부 파일을 실행시키도록 유도하는 방식이 사용된다. 전형적인 스팸 메일 첨부 파일을 통한 유포 방식 공격자는 스팸 메일의 첨부 파일을 이용해 악성코드를

  • 4월 26 2021
스팸 메일로 유포 중인 NanoCore RAT 악성코드
악성코드

스팸 메일로 유포 중인 NanoCore RAT 악성코드

NanoCore는 RAT(Remote Administration Tool) 악성코드로서 개발자가 과거 2014년부터 제작하기 시작했고 2016년 체포되기 전까지 딥웹을 통해 판매되었다. 하지만 크랙 버전이 공개됨에 따라 개발자가 체포된 후에도 현재까지 꾸준히 공격자들에 의해 사용되고 있다. RAT 악성코드인 NanoCore는 키로깅, 스크린샷 캡쳐, 웹캠 제어와 같은 기능들뿐만 아니라 DDoS, 웹 브라우저 및 이메일 그리고 FTP 클라이언트 계정

  • 12월 11 2020
스팸 메일로 유포 중인 AveMaria 악성코드
악성코드

스팸 메일로 유포 중인 AveMaria 악성코드

AveMaria 는 원격제어 기능의 RAT (Remote Administration Tool) 악성코드로서 C&C 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 아래의 주간 통계에서도 확인 되듯이 Top 5 안에는 포함되지 않지만, 꾸준히 일정 비율을 차지하고 있다. ASEC 주간 악성코드 통계 ( 20200727 ~ 20200802 ) AveMaria 악성코드는 최근 AgentTesla, Lokibot, Formbook 악성코드와

  • 8월 10 2020
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능
악성코드

원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능

ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. 뱅킹악성코드에 포함된 DDoS 공격기능

  • 6월 17 2020