급여명세서를 위장하여 유포되는 램코스 악성코드 (Remcos RAT) Posted By ohmintaek , 2023년 10월 26일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 급여명세서를 위장하여 유포되는 Remcos 원격 제어 악성코드의 유포 정황을 발견했다. 확인된 Remcos RAT 악성코드는 [그림 1]와 같이 ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포되었다. 첨부된 cab 압축파일 내부에는 [그림 2]과 같이 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 되어있다. Remcos RAT 악성코드는 [그림 3]과같이 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적인 원격…
세금 계산서, 운송장 번호로 위장한 Guloader 악성코드 (MDS 제품 탐지) Posted By muhan , 2023년 8월 4일 AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다. 안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다. Remcos는 스팸…
취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT Posted By Sanseo , 2022년 2월 15일 ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다. 공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로 로그인한 후 xp_cmdshell과 같은 명령을 이용해 악성코드를 설치한다. 이에 따라 이전 블로그에서는 MS-SQL 서버 프로세스 즉 sqlservr.exe에 의해 설치되는 코발트 스트라이크 악성코드를 다루었다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로…
파일리스로 동작하는 Remcos RAT 악성코드 Posted By ASEC , 2021년 7월 19일 ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면 아래 그림과 같다. 공격자는 메일의 첨부 파일을 통해 악성 매크로가 포함된 Excel 파일을 유포하는데, 매크로가 실행이 되면 PowerShell 을 이용하여 JS 파일과 추가 데이터를 내려받는다. 이후 Remcos RAT 악성코드는 윈도우…
스팸 메일로 유포 중인 Remcos RAT 악성코드 Posted By ASEC , 2020년 11월 23일 Remcos는 RAT(Remote Access Troajn) 악성코드로서 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. Remcos는 제작자가 아래와 같은 웹 사이트를 통해 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며 최신까지도 주기적으로 업데이트 되고 있다. Remcos 홈페이지에서 설명하는 기능들만 본다면 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 적혀져 있다. 물론 이러한 기능들이 지원되는 것은 사실이다. 하지만 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은…
