기업 홍보물 제작을 위장한 악성 LNK 유포 Posted By ch.lim , 2023년 11월 10일 최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다. 악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK…
Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub) Posted By Vanish , 2023년 3월 23일 AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을 통해 C2에 접속하여 추가 스크립트를 다운로드 및 실행한다. 최종적으로 실행되는 악성코드 유형은 뉴스 설문지로 위장하여 유포 중인 악성 워드 문서에서 확인된 유형과 일치하며 브라우저에 저장된 정보를 수집한다. 하지만,…
공인 인증 솔루션(MagicLine4NX) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 21일 취약 소프트웨어 및 개요 MagicLine4NX는 국내 드림시큐리티사에서 제작한 Non-ActiveX 공동인증서 프로그램이다. 사용자는 MagicLine4NX 프로그램을 이용하여 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다. 이 프로그램은 시작 프로그램에 등록되어 있으며, 프로세스가 종료되더라도 특정 서비스(MagicLine4NXServices.exe)에 의하여 재실행되며, 한번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 MagicLine4NX에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 MagicLine4NX 1.0.0.1~1.0.0.26 버전 취약점 악용…
자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할…
복호화 가능한 iswr 랜섬웨어 국내 유포중 Posted By song.th , 2023년 3월 2일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…
