VPN 홈페이지에서 유포 중인 NKNShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 국내 VPN 업체의 홈페이지에서 악성코드가 업로드되어 있는 것을 확인하였다. 해당 공격은 악성코드 유포 방식이나 사용된 악성코드 등의 특징으로 보아 2023년부터 국내 VPN 업체를 공격해 악성코드를 유포했던 공격자와 동일한 소행으로 보인다. 과거 사례에서 공격자는 최종적으로 SparkRAT, MeshAgent, Sliver와 같은 백도어 악성코드를 설치해 감염 시스템을 제어하였는데 최근 확인된
2025년 5월 APT 공격 동향 보고서(국내)
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2025년 5월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2025년 5월 APT 국내 공격 통계 국내 유포가 확인된 APT
Ivanti Connect Secure 취약점 노출 국내 서버 현황 (다수 CVEs)
Ivanti Connect Secure 제품에 대한 다수의 취약점이 발표되었으며, CVSS 점수 9점(CRITICAL) 이상의 위험도가 높은 취약점이 다수 포함되어 있다. 국내에서 운영 중인 Ivanti Connect Secure 서버 중 대다수가 취약 버전으로 확인되었다. [그림 1] Ivanti Connect Secure 기본 접속 화면 Ivanti Connect Secure는 미국 Ivanti사의 VPN 솔루션으로, 기업 등의 내부
SoftEther VPN을 설치하는 국내 ERP 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업의 ERP 서버를 공격하여 VPN 서버를 설치하는 공격 사례를 확인하였다. 공격자는 최초 침투 과정에서 MS-SQL 서비스를 공격하였으며 이후에는 웹쉘을 설치하여 지속성을 유지하고 감염 시스템을 제어하였다. 여기까지의 과정이 끝난 후에는 감염 시스템을 VPN 서버로 활용하기 위해 최종적으로 SoftEther VPN 서비스를 설치한 것이 특징이다. 1. Proxy
국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석
AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 사례를 소개한 바 있다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속을 필요로 하는 사람들이 설치했던 사례가 많았으며 블로그 공개 이후 조치가 완료되었다. 하지만 최근 동일한 VPN 업체의 인스톨러에서 SparkRAT을
중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT
AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수
