ICE Cloud 스캐너를 설치하는 MS-SQL 서버 대상 공격 사례 (Larva-26002)
AhnLab SEcurity intelligence Center(ASEC)은 2026년에도 Larva-26002 공격자가 부적절하게 관리되고 있는 MS-SQL 서버를 공격 중인 것을 확인하였다. Larva-26002 공격자는 과거 Trigona 랜섬웨어와 Mimic 랜섬웨어를 유포해 왔으며 이후에는 감염 시스템에 대한 제어를 탈취하고 스캐너를 설치하고 있다. 최근 확인된 공격에서는 Go 언어로 제작된 스캐너 악성코드 ICE Cloud Client가 사용되고 있다. Larva-26002 공격자는 2024년
2025년 4분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고
Trigona 공격자의 최신 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 과거 “Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자”[1] 포스팅을 통해 Trigona 공격자의 MS-SQL 서버 대상 공격 사례를 다루었다. 해당 공격 사례에서는 Trigona 랜섬웨어뿐만 아니라 Mimic 랜섬웨어가 함께 사용되었지만 Mimic의 랜섬노트에서 사용한 공격자의 이메일 주소가 다른 공격 사례들에서 확인되지 않은 반면 Trigona의 랜섬노트에는 2023년 초부터 Trigona 랜섬웨어 공격자가
Trigona 리브랜딩 의혹과 글로벌 위협 확산, BlackNevas 랜섬웨어 분석
BlackNevas는 대한민국을 포함하여 전세계 다양한 국가와 산업의 기업들을 대상으로 지속적인 랜섬웨어 공격을 가하고 있다. 본 게시글에서는 BlackNevas 랜섬웨어의 특징과 임호화 방식, 그리고 실제 복호화가 불가능한 이유에 대해 기술적으로 분석함으로써, 향후 유사한 위협에 대비하기 위한 인사이트를 제공하고자 한다. 1. 개요 1.1. BlackNevas BlackNevas 랜섬웨어 그룹은 2024년 11월 처음 등장했으며,
2024년 1월 딥웹 & 다크웹 동향보고서
알림 2024년 1월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다. 주요 이슈 1) Ransomwares (1) Black Basta Black Basta 랜섬웨어 갱단은 2022년 4월에
MS-SQL 서버를 공격 중인 Trigona 랜섬웨어
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Trigona 랜섬웨어가 설치되고 있는 것을 확인하였다. Trigona는 상대적으로 최근이라고 할 수 있는 2022년 10월 최초로 확인된 랜섬웨어로서 최근 Unit 42에서도 CryLock 랜섬웨어와의 유사성을 바탕으로 보고서를 공개한 바 있다. [1] 1. 부적절하게 관리되고 있는 MS-SQL 서버 부적절하게 관리되고
