PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형
noMu Backdoor를 이용한 APT 공격 사례 분석 보고서
AhnLab SEcurity intelligence Center(ASEC)은 최근 알려지지 않은 공격자가 국내 사용자와 시스템들을 대상으로 다양한 원격 제어 악성코드들을 설치하는 공격 사례를 확인하였다. 공격자는 다양한 리버스 쉘, 백도어, VNC 악성코드들을 사용하였으며 이외에도 원격 화면 제어를 위해 RDP를 사용하기도 하였다. 공격자가 제작한 것으로 추정되는 악성코드 중에는 출력 결과를 한글 인코딩으로 변환하는 코드가 존재하는 것을
전자책으로 위장하여 유포되는 AsyncRAT
1. 개요 AhnLab SEcurity intelligence Center(ASEC)은 과거 블로그에서 AsyncRAT가 다양한 확장자(.chm, .wsf, .lnk)를 통해 유포된 사례를 소개한 바 있다. [1] [2] 위에 언급한 블로그에서 공격자는 악성코드를 은폐하기위해 ‘설문 조사’ 내용의 정상 문서 파일을 미끼 파일로 활용하는 것을 확인할 수 있는데, 최근에는 전자책을 위장하여 악성코드가 유포된 사례가 확인되었다. 2. 스크립트를 기반으로
윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT
최근 악성코드의 유포 형태가 다양하게 변화하고 있다. 그 중 윈도우 도움말 파일(*.chm) 을 이용한 악성코드가 작년부터 증가하고 있으며, ASEC 블로그를 통해 아래와 같이 여러 차례 소개해왔다. 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포 문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) 코인분실,
FileLess 형태로 유포 중인 AsyncRAT
ASEC 분석팀은 최근 FileLess 형태로 AsyncRAT 악성코드가 유포 중인 것을 확인하였다. 유포 중인 AsyncRAT 은 다수의 스크립트 파일을 통해 FileLess 형태로 실행되며, 이메일 내 압축파일로 첨부되어 유포되는 것으로 추정된다. AsyncRAT 은 닷넷으로 개발된 오픈 소스 RAT 악성코드로 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 피싱 메일을 통해 유포되는
GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴
ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이다. 프로그램의 구성파일이 정상적으로 보이지만 이 중 솔루션파일(*.sln)은 RAT 툴이다. 이와 같은 방법으로 악성코드 유포자는 RAT 툴을 솔루션파일(*.sln)로
취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드
ShadowServer 재단은 최근 전 세계에서 외부에 노출되어 있는 MySQL 서버의 수가 약 360만 대 존재한다는 보고서를 공개하였다. MySQL 서버는 MS-SQL 서버와 함께 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 MS-SQL이 대표적이지만 리눅스 환경에서는 MySQL이 아직까지 많이 사용되고 있다. Over 3.6 million exposed MySQL
디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드
ASEC 분석팀에서는 최근 디스코드 메신저를 통해 RAT (Remote Administration Tool) 악성코드들이 유포 중인 것을 확인하였다. 현재 해당 악성코드들을 다운로드하는 다운로더 악성코드가 “야동 링크.exe”라는 이름으로 유포 중이며 이 악성코드가 실행될 경우 외부에서 RAT 악성코드들을 다운로드하고 설치한다. 디스코드(Discord)는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트
