Larva-24011 공격자의 최신 공격 동향 분석 보고서
1. 개요 Larva-24011 공격자는 금전적 수익을 목적으로 취약한 시스템들을 공격해 CoinMiner와 Proxyware를 설치하고 있다. ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24011 공격자의 활동을 모니터링하던 중 CoinMiner와 Proxyware를 설치하는 목적 외에도 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하는 등 감염 시스템을 제어하고 정보를 탈취하는 공격 사례가 늘고 있는 것을 확인하였다. 부적절하게
PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석
개요 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 최근 다수의 공격 사례에서 PebbleDash와 RDP Wrapper를 사용하는 정황을 확인하였다. 일반적으로 Kimsuky 그룹의 공격 대상은 방위산업, 언론, 외교, 국가기관, 학술 등 다양한 분야를 대상으로 하며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. 그리고 최초 침투를 위해 스피어 피싱 공격을 주로 사용한다. 과거에는 문서형
noMu Backdoor를 이용한 APT 공격 사례 분석 보고서
AhnLab SEcurity intelligence Center(ASEC)은 최근 알려지지 않은 공격자가 국내 사용자와 시스템들을 대상으로 다양한 원격 제어 악성코드들을 설치하는 공격 사례를 확인하였다. 공격자는 다양한 리버스 쉘, 백도어, VNC 악성코드들을 사용하였으며 이외에도 원격 화면 제어를 위해 RDP를 사용하기도 하였다. 공격자가 제작한 것으로 추정되는 악성코드 중에는 출력 결과를 한글 인코딩으로 변환하는 코드가 존재하는 것을
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업 및 기관을 대상으로 한 Andariel 그룹의 APT 공격 사례를 확인하였다. 공격 대상으로 확인된 조직들은 국내 제조업, 건설 업체 및 교육 기관이었으며, 백도어뿐만 아니라 키로거, 인포스틸러 그리고 프록시 도구들이 공격에 사용되었다. 공격자는 이러한 악성코드들을 이용해 감염 시스템을 제어하고 시스템에 존재하는 데이터를 탈취할
Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹
AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른
중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로
Proxyware를 이용해 수익을 얻는 공격자들
Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램이다. 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 이러한 서비스를 제공하는 업체들로는 Peer2Profit, IPRoyal과 같은 회사들이 있다. 해당 업체들은 제공 받은 대역폭을 다른 업체들에 제공하는 방식으로 수익을 얻는데 홈페이지에 따르면 소프트웨어 배포, 시장 조사, 광고 검증,
다양한 공격자들에 의해 사용되는 SystemBC 악성코드
SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서
Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만,
MS11-073 워드 취약점을 악용한 타겟 공격 발생
2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 “New Targeted Attack Using Office Exploit Found...
