동영상 파일을 위장해 유포 중인 RMM 도구들 (Syncro, SuperOps, NinjaOne 등)
AhnLab SEcurity intelligence Center(ASEC)은 최근 Syncro, SuperOps, NinjaOne, ScreenConnect 등 RMM 도구들을 악용한 공격 사례를 확인하였다. 공격자는 PDF 파일을 유포하였으며 이를 통해 사용자가 구글 드라이브 등을 위장한 유포 페이지에서 RMM 도구를 다운로드해 실행하도록 유도하였다. 악성코드 서명에 사용된 인증서를 보면 공격자는 적어도 2025년 10월부터 유사한 공격을 수행해 온 것으로 보인다.
LogMeIn과 PDQ Connect를 악용한 악성코드 유포 사례
AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구인 LogMeIn Resolve(GoTo Resolve)와 PDQ Connect를 악용한 공격 사례를 확인하였다. 최초 유포 과정은 알 수 없지만 정상 프로그램을 위장한 웹 사이트에서 다운로드되어 설치되었으며 이후 정보 탈취 기능을 포함하는 추가적인 악성코드를 함께 설치하는 것이 특징이다. 1. 유포 방식 LogMeIn의 최초 유포
원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지 (2)
원격 제어 도구는 RAT(Remote Administration Tool)라고도 부르며 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 최근 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 백도어 악성코드 대신 원격 제어 도구들을 설치하는 사례들이 늘어나고 있다. 이는 방화벽이나 탐지를 우회하기 위한 의도적인 목적인데 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을
