스팸 메일로 유포 중인 Remcos RAT 악성코드 Posted By ASEC , 2020년 11월 23일 Remcos는 RAT(Remote Access Troajn) 악성코드로서 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. Remcos는 제작자가 아래와 같은 웹 사이트를 통해 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며 최신까지도 주기적으로 업데이트 되고 있다. Remcos 홈페이지에서 설명하는 기능들만 본다면 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 적혀져 있다. 물론 이러한 기능들이 지원되는 것은 사실이다. 하지만 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은…
스팸 메일로 유포 중인 AveMaria 악성코드 Posted By ASEC , 2020년 8월 10일 AveMaria 는 원격제어 기능의 RAT (Remote Administration Tool) 악성코드로서 C&C 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 아래의 주간 통계에서도 확인 되듯이 Top 5 안에는 포함되지 않지만, 꾸준히 일정 비율을 차지하고 있다. AveMaria 악성코드는 최근 AgentTesla, Lokibot, Formbook 악성코드와 유사하게 대부분 스팸 메일을 통해 유포되고 있다. 또한 진단을 우회하기 위해 위의 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 패킹되어 유포 중이다. 다음은 유포에 사용된 스팸 메일로서 아래와 같이 전형적인 견적 관련 스팸 메일이다. 첨부 파일을 확인해 보면 7z 및 zip…
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능 Posted By ASEC , 2020년 6월 16일 ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. https://asec.ahnlab.com/995 Gh0st RAT은 중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드이다. Gh0st RAT에 감염이 될 경우 해당 PC는 좀비 PC가 되어 공격자 서버로 부터 다양한 명령을 수행하게 된다. 특히 Github에도 Gh0st…
이스라엘 정부 기관 대상의 타겟 공격 발생 Posted By ASEC , 2012년 11월 1일 이스라엘 언론인 The Times of Israle의 “How Israel Police computers were hacked: The inside story“을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다. 이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다. 이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 “Xtreme RAT Targets Israeli Government“를 통해 밝히고 있다. 발신인 – bennygantz59.gmail.com 이메일 제목 – IDF strikes militants in Gaza Strip following rocket barrage 첨부 파일명 – Report & Photos.rar 첨부된 Report & Photos.rar의 압축을 풀게 되면 “IDF strikes militants in…
