Larva-25010 – APT Down 공격자 PC 분석
본 보고서는 ‘APT Down: the North Korea Files’ 보고서 공개 이후 ‘AhnLab TIP’의 ‘위협 Notes’로 작성된 APT Down의 침해 현황 분석에 대한 7개의 게시글과 추가 분석 내용을 정리한 보고서이다. 2025/08/12 게시, ‘APT DOWN – 한국 기관 침해 현황 분석’ 2025/08/13 게시, ‘APT DOWN – 한국 기관 침해 현황 분석(2)’
(Larva-25003) 웹 서버 대상 IIS 악성코드 유포 사례
개요 2025년 2월, AhnLab SEcurity intelligence Center(ASEC)은 중국어를 사용하는 것으로 추정되는 공격자가 국내 웹 서버를 대상으로 웹 서버 네이티브 악성 모듈을 유포한 정황을 확인하였다. 공격자는 보안 관리가 미흡한 웹 서버에 초기 침투를 시도한 뒤 웹쉘 기능을 수행하는 닷넷(.NET) 로더 악성코드(웹쉘)과 백도어를 이용해 웹 서버를 장악하였다. 이후 마이크로소프트 윈도우IIS(Internet Information
AhnLab EDR을 활용한 리눅스 대상 방어 회피 공격 탐지 (1)
일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 이에 따라 공격자들은 최초
MS-SQL 서버를 공격하는 HiddenGh0st 악성코드
Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. [1] 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 Gh0st RAT은 중국 기반의 공격자들이 주로 사용하는 것이 특징이다. 이전 블로그에서도 데이터베이스 서버(MS-SQL, MySQL 서버)를
리눅스 시스템을 노리는 Reptile 악성코드
Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서
북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격
은폐형 악성코드 PurpleFox 감염여부 확인 및 치료
PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은
