Trigona 공격자의 최신 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 과거 “Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자”[1] 포스팅을 통해 Trigona 공격자의 MS-SQL 서버 대상 공격 사례를 다루었다. 해당 공격 사례에서는 Trigona 랜섬웨어뿐만 아니라 Mimic 랜섬웨어가 함께 사용되었지만 Mimic의 랜섬노트에서 사용한 공격자의 이메일 주소가 다른 공격 사례들에서 확인되지 않은 반면 Trigona의 랜섬노트에는 2023년 초부터 Trigona 랜섬웨어 공격자가
국내 공격 사례에서 확인된 Makop 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 사용자를 대상으로 한 Makop 랜섬웨어 공격 사례를 확인하였다. Makop 랜섬웨어는 수년 전부터 국내 사용자들을 대상으로 이력서나 저작권 관련 메일로 위장하여 유포되었으며 최근에는 RDP를 악용해 공격하고 있는 것으로 알려졌다. 1. RDP를 이용한 악성코드 설치 RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로
2025년 3월 PebbleDash 악성코드 유포 사례
PebbleDash 백도어 악성코드는 지난 2020년에 미국 국토부 산하기관인 CISA에서 명명한 Lazarus(Hidden Corba)의 백도어 악성코드이다. 당시에는 Lazarus 그룹의 악성코드로 알려져있었지만 최근들어 Lazarus 그룹의 공격 사례보다는 개인을 대상으로 악성코드 유포를 일삼는 Kimsuky 그룹의 공격 사례에서 PebbleDash 악성코드가 다수 확인되고 있다. 본 보고서에서는 Kimsuky 그룹의 PebbleDash 악성코드 최신 유포 과정과 PebbleDash와 함께 확인되는
APT그룹 추적 보고서 – Larva-24005
1) 소개 안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다. 포렌식 분석을
Larva-24011 공격자의 최신 공격 동향 분석 보고서
1. 개요 Larva-24011 공격자는 금전적 수익을 목적으로 취약한 시스템들을 공격해 CoinMiner와 Proxyware를 설치하고 있다. ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24011 공격자의 활동을 모니터링하던 중 CoinMiner와 Proxyware를 설치하는 목적 외에도 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하는 등 감염 시스템을 제어하고 정보를 탈취하는 공격 사례가 늘고 있는 것을 확인하였다. 부적절하게
RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지
원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한
RDP를 이용해 감염 시스템을 제어하는 Kimsuky 위협 그룹
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격을 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어
ASEC(AhnLab Security Emergency response Center)은 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업 대상 공격에 사용 중인 것을 확인하였다. 하쿠나 마타타는 상대적으로 최근에 제작된 랜섬웨어이다. 하쿠나 마타타 랜섬웨어와 관련된 정보들 중 최초로 확인되는 것은 2023년 7월 6일 트위터에서 언급된 내용이며, [1] 이후 2023년 7월 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이
크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도
RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자
ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로
