국내 기업들의 웹 서비스를 대상으로 하는 APT 공격 사례 분석 Posted By Sanseo , 2023년 8월 14일 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다. AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 본 포스팅에서는 수년간 지속적으로 국내 기업들의 웹 서버를 공격 중인 APT 공격 사례를 정리하였으며, 공격에 사용된 다양한 악성코드 및 도구들의 IoC도 함께 공개한다. 공격자는 대부분의 감염 시스템들에서 “tripod”라는 이름의 계정을 악용하고 있으며 이러한 점은 해당 공격자를 특정할 수 있는 몇 가지…
중국 해커 조직의 국내 기업 정보 탈취 Posted By kingkimgim , 2023년 5월 4일 최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다. 중국 해커 그룹의 가이드 라인 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z”…
취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 Posted By ASEC , 2022년 7월 15일 ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….
국내 MS Exchange Server 취약점 공격 정황 포착 (2) Posted By ASEC , 2021년 3월 24일 ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다. MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다. 악성 DLL 생성 경로– Microsoft.NET\Framework64\*\Temporary…
이미지 파일을 이용한 PHP 웹쉘 악성코드 Posted By ASEC , 2020년 12월 8일 웹쉘(WebShell)이란 웹 서버에 업로드 되어 파일 탐색이나 시스템 쉘 명령 등을 실행할 수 있게 하는 파일이다. 공격자는 웹 브라우저를 이용해 서버 시스템의 파일을 탐색하고 쉘 명령을 내릴 수 있다. 악의적인 웹쉘 파일이 서버에 업로드 되는 것을 방지하기 위해 업로드 파일 확장자를 제한하는 등의 방법이 있다. 하지만 공격자는 다음과 같은 방법으로 이를 우회할 수 있다. 서버 사이드 스크립트(Server-Side Script)의 확장자 필터링을 우회하는 파일 업로드 GIF, PNG, JPEG 이미지 등 업로드 가능한 확장자 파일에 악성 스크립트를 삽입하여 파일 업로드 본 글은 이…
