국내 사용자들을 대상으로 유포 중인 Remcos RAT
악성코드

국내 사용자들을 대상으로 유포 중인 Remcos RAT

AhnLab SEcurity intelligence Center(ASEC)은 국내 사용자들을 대상으로 Remcos RAT이 유포 중인 것을 확인하였다. 최초 유포 페이지는 알 수 없지만 VeraCrypt 설치 파일을 위장하거나 불법 도박 사이트와 관련된 프로그램과 연관된 것으로 추정된다.    1. 악성코드 유포 최초로 유포된 악성코드는 다음과 같이 “블랙유저 DB조회 *****Club”이라는 이미지를 보여준다. 해당 프로그램은 C&C 서버 즉 DB에

  • 1월 16 2026
2025년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
트렌드

2025년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서

개요  ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 2분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의

  • 7월 07 2025
2025년 1분기 MS-SQL 대상 악성코드 통계 보고서
트렌드

2025년 1분기 MS-SQL 대상 악성코드 통계 보고서

개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

  • 4월 04 2025
대형 운송사의 운송장으로 위장하여 유포되는 Remcos RAT 악성코드
악성코드

대형 운송사의 운송장으로 위장하여 유포되는 Remcos RAT 악성코드

최근 AhnLab SEcurity intelligence Center(ASEC)에서는 대형 운송사의 운송장으로 위장하여 유포되는 Remcos 악성코드를 발견하였다. 해당 블로그에서는 html, javascript, autoit script 로 이어져 최종 Remcos 악성코드 실행까지의 유포 흐름을 설명한다.   하기 [그림 1]은 유포되는 메일의 원본으로 내부에 html 스크립트가 첨부되어 있다. 해당 html 파일은 실행하여 Download 버튼을 클릭하면 [그림 2]와 같이 “747031500

  • 3월 31 2025
2024년 4분기 MS-SQL 대상 악성코드 통계 보고서
트렌드

2024년 4분기 MS-SQL 대상 악성코드 통계 보고서

개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

  • 1월 06 2025
유효한 인증서를 악용한 국내 게임사 대상 공급망 공격
악성코드

유효한 인증서를 악용한 국내 게임사 대상 공급망 공격

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업 및 사용자들을 대상으로 한 위협을 모니터링하던 중 국내 게임사들을 대상으로 공급망 공격을 수행한 정황을 확인하였다. 자사에서 Larva-24008로 구분하는 해당 공격 그룹은 국내 게임 보안 업체를 공격하여 게임 보안 모듈에 악성 루틴을 삽입하였다. 이에 따라 해당 업체의 보안 모듈을 사용하는 게임들은 악성코드가 포함된 채로

  • 9월 27 2024
UUE(UUEncoding) 파일로 유포되는 Remcos RAT
악성코드

UUE(UUEncoding) 파일로 유포되는 Remcos RAT

AhnLab SEcurity intelligence Center(ASEC)에서는 Power Archiver로 압축한 UUE(UUEncoding)파일을 통해 Remocs RAT 악성코드가 유포되는 정확을 확인하였다. 아래는 Remcos RAT 악성코드 다운로더를 유포하는 피싱 메일이다. 피싱 메일은 수출입 선적 관련 메일이나 견적서로 위장하여 유포되므로 수신자의 주의가 필요하다. 1. UUEncoding 공격자는 첨부 파일을 통해 UUEncoding 방식으로 인코딩된 VBS 스크립트 파일을 유포한다. UUEncoding 방식은

  • 5월 24 2024
TargetCompany 공격자의 Remcos RAT을 이용한 MS-SQL 서버 공격 사례 분석 보고서
악성코드

TargetCompany 공격자의 Remcos RAT을 이용한 MS-SQL 서버 공격 사례 분석 보고서

개요   AhnLab SEcurity intelligence Center(ASEC)은 부적절하게 관리되고 있는 MS-SQL 서버에 대한 공격을 모니터링하고 있다. 인터넷에 공개되어 있으며 무차별 대입 공격 및 사전 공격에 취약한 계정 정보들을 대상으로 하는 공격자들 중에는 대표적으로 TargetCompany 공격자 있다.   TargetCompany 공격자는 MS-SQL 서버를 대상으로 수년간 지속적으로 랜섬웨어를 설치하고 있으며 대표적으로 Mallox 랜섬웨어와 BlueSky

  • 5월 13 2024
RemcosRAT, 스테가노그래피 기법을 이용하여 유포중
악성코드

RemcosRAT, 스테가노그래피 기법을 이용하여 유포중

AhnLab SEcurity intelligence Center(ASEC)은 최근 RemcosRAT가 스테가노그래피 기법을 이용하여 유포 중인 것을 확인했다. 시작은 Template Injection기법을 사용한 Word문서를 시작으로 수식 편집기(EQNEDT32.EXE)취약점을 사용하는 RTF를 다운로드하여 실행한다.     RTF는 C2에서 “.jpg”확장자를 가진 VBScript를 다운로드하고 텍스트를 무료로 업로드해 주는 “Pastebin”과  유사한 서비스인 “paste.ee”에서 추가 VBScript를 다운로드한다.     다운로드된 VBScript는 여러 특수문자로

  • 4월 25 2024
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어)
악성코드

TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어)

AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky

  • 4월 22 2024