AhnLab EDR을 활용한 최신 RMM 유포 사례 탐지
AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구들을 악용한 공격 사례가 늘어나고 있는 것을 확인하였다. 과거에는 최초 침투 이후 제어를 탈취하기 위한 공격 과정에서 원격 제어 도구들을 악용해 왔다면 최근에는 최초 유포 단계에서도 RMM 도구를 활용할 정도로 다양한 공격 사례들에서 악용되는 중이다. 여기에서는 최근 확인된 RMM 악용 사례들과
동영상 파일을 위장해 유포 중인 RMM 도구들 (Syncro, SuperOps, NinjaOne 등)
AhnLab SEcurity intelligence Center(ASEC)은 최근 Syncro, SuperOps, NinjaOne, ScreenConnect 등 RMM 도구들을 악용한 공격 사례를 확인하였다. 공격자는 PDF 파일을 유포하였으며 이를 통해 사용자가 구글 드라이브 등을 위장한 유포 페이지에서 RMM 도구를 다운로드해 실행하도록 유도하였다. 악성코드 서명에 사용된 인증서를 보면 공격자는 적어도 2025년 10월부터 유사한 공격을 수행해 온 것으로 보인다.
