크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹 Posted By Sanseo , 2023년 6월 28일 AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도 꾸준히 확인된다. [2] 여기에서는 최근 확인된 크롬 원격 데스크톱 악용 사례를 정리한다. Kimsuky 공격 그룹은 북한의 지원을 받고 있다고 확인되는 위협 그룹으로서 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관…
독일 은행을 노리는 스파이아이 변형 발견 Posted By ASEC , 2012년 6월 1일 ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다. 이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다. 이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다. 추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다. 해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의…
