AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 Posted By Sanseo , 2023년 2월 2일 ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. 1. AweSun 취약점 공격 Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1] AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin…
Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD Posted By Sanseo , 2023년 1월 25일 Sliver는 Go 언어로 개발된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구들로는 대표적으로 코발트 스트라이크와 Metasploit이 있으며 실제 많은 공격자들이 애용하고 있고 ASEC 블로그에서도 다양한 공격 사례들을 다룬 바 있다. 최근에는 코발트 스트라이크나 Metasploit 외에도 공격자들이 Sliver를 사용하는 사례들이 확인되고 있다. ASEC (AhnLab Security Emergengy response Center) 분석팀은 취약점이 패치되지 않은 시스템이나 부적절하게 설정된 시스템들을 대상으로 하는 공격들을 모니터링하고 있으며, 최근 Sliver 백도어가 특정 소프트웨어에 대한 취약점 공격으로 추정되는 과정을 통해 설치되고 있는 것을 확인하였다. 공격자들은 이외에도 Sliver 백도어뿐만 아니라…
Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped) Posted By ASEC , 2022년 5월 12일 작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무…
MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 Posted By ASEC , 2012년 1월 27일 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…
마이크로소프트 2012년 1월 보안 패치 배포 Posted By ASEC , 2012년 1월 11일 마이크로소프트(Microsoft)에서 2011년 12월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 1월 11일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다. Microsoft Security Bulletin MS12-001 – Important Vulnerability in Windows Kernel Could Allow Security Feature Bypass (2644615) Microsoft Security Bulletin MS12-002 – Important Vulnerability in Windows Object Packager Could Allow Remote Code Execution (2603381) Microsoft Security Bulletin MS12-003 – Important Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2646524) Microsoft Security Bulletin MS12-004 – Critical Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391) Microsoft Security Bulletin MS12-005 – Important Vulnerability in Microsoft Windows Could Allow Remote Code Execution (2584146) Microsoft Security Bulletin MS12-006 – Important Vulnerability in…
