오브의 빛나는 별

- ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포 됨 - 메일 내에 첨부된 cab 압축파일 내부에는 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 - Remcos RAT 악성코드는 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐 등 악의적인 원격 제어가 가능 Remcos RAT 악성코드: Remcos 자체는 해외 보안 업체에서 합법적으로 윈도우를 관리하기 위해 개발된 프로그램이나, 공격자들의 원격 접근 툴(RAT)로 악용됨. 사용자의 시스템 장악 및 정보 탈취, 원격 명령 수행, 키로거, 화면 캡처, 파일 다운로드, 웹 브라우저 로그인 정보 저장 등 다양한 기능 존재 키로거(Keylogger): 사용자가 키보드 등 입출력 장치에서 입력한 정보를 사용자 동의없이 기록..

- AvosLocker는 오픈 소스 원격 시스템 관리 도구와 LotL(living off-the-land)에 의존하여 흔적을 남기지 않고 조직의 네트워크를 손상 - Mozilla를 사칭하여 Thunderbird의 트로이 목마 버전을 설치하도록 속이는 악성 광고 캠페인을 활용하여 악성파일 배포 중 LotL : PowerShell, WMI또는 암호 저장 도구인 Mimikatz 등 대상 컴퓨터에 설치된 도구를 사용하여 공격 수행 https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html FBI, CISA Warn of Rising AvosLocker Ransomware Attacks Against Critical Infrastructur..

- 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 사용자들의 주의 필요 - 암호화된 RAR 압축 파일이 다운로드되며 패스워드는 파일명 혹은 유포 페이지에 명시되어 있음 - 데이터 파일, 정상 EXE, 변조된 악성 DLL이 한 디렉토리 내에 위치해야 악성코드가 동작하고, 데이터 파일은 PNG 이미지 파일로 위장 DLL Hijacking: 공격자가 공격에 사용될 DLL 파일 내부에 악성코드를 삽입한 이후 DLL 파일을 검색하고 로드하는 방식을 악용하여 애플리케이션에 악성코드를 주입하는 방식 RAR: TUI 셸 프로그램을 제공해 메뉴를 통해서 파일을 압축하거나 압축을 풀 수 있는 무손실 압축 포맷 EntryPoint: 운영 ..

- 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 설치되고 있는 ShellBot 악성코드의 유포 방식이 일반적인 IP 주소 대신 16진수 값으로 변경 - 일반적으로 '점 – 10진수 표기법'을 사용하나 공격자들은 URL 진단을 우회하기 위한 목적으로 10진수나 16진수로 표현 - ShellBot이 설치될 경우 DDoS Bot으로 사용되거나 다양한 백도어 기능을 통해 추가 악성코드 설치 및 다른 공격에 사용 ShellBot 악성코드: PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것 DDoS Bot: 스팸 발송, 데이터 도난, 랜섬웨어, 사기성 광고 클릭 또는 DDoS(분산 서비스 거부) 공격..

- 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황 발견 - 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행 유도 - xcopy 명령을 통해 BAT 파일을 복사하고, 정상 powershell.exe를 png 확장자로 위장 BAT 파일: 실행시 윈도우 응용프로그램인 cmd.exe에 의해 구동되는 스크립트 파일 유형 AgentTesla: 인포스틸러 악성코드로, 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보 유출 파일리스(Fileless) 기법: 일반적인 악성코드는 실행파일(PE)형태를 가지지만, 파일리스는 운영체제에서 제공하는 스크립트 엔진을 사용해 악성행위를 수행 https://asec.ahnlab.com/..

- 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Hidden 루트킷을 설치하는 Gh0st RAT 변종 HiddenGh0st 유포중 - 파일 진단을 우회하기 위해 패킹된 상태로 유포하고, 파일 은폐를 위해 파일 시스템 미니 필터 드라이버 사용 - 중국어 사용자들이 주로 사용하는 QQ 메신저 정보 탈취 기능이 함께 포함된 것을 보면 중국어 사용자들을 주요 공격 대상으로 하는 것으로 추정 HiddenGh0st 악성코드: Hidden 루트킷을 설치하는 Gh0st RAT 변종 Gh0st RAT: 중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드 https://asec.ahnlab.com/ko/57028/ MS-SQL 서버를 공격하는 HiddenGh0st..

- 국내 기업의 윈도우 시스템 또는 태국 방송사 대상으로 BlueShell을 이용한 APT 공격 - Go 언어로 제작되었고, ReadMe 파일이 중국어인 것이 특징이며 C&C 서버와의 통신에 TLS 암호화를 지원하여 네트워크 탐지 우회 - BlueShell 악성코드인 '/tmp/kthread'를 실행한 이후에는 삭제하고 '/sbin/rpcd'로 위장 BlueShell: Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원 Go 언어: 전통적인 컴파일, 링크 모델을 따르는 범용 프로그래밍 언어 https://asec.ahnlab.com/ko/56715/ 국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드 - ASEC BLOG BlueShell은..

- 국내 기업 대상으로 상대적으로 최근에 제작된 하쿠나 마타타 랜섬웨어로 공격 - ClipBanker 기능이 함께 존재하는 것이 특징으로 시스템 암호화 후 공격에 사용된 악성코드와 이벤트 로그를 삭제하여 정확한 정보를 확인하기 어려움 - RDP가 최초 공격 벡터로 이용되었을 것으로 추정되고 %LOCALAPPDATA%\rundll32.exe 경로에 하쿠나 마타타를 복사하여 실행함으로써 정상 프로세스로 위장 하쿠나 마타타(Hakuna matata) 랜섬웨어: 컴퓨터에 있는 파일을 암호화하고 파일을 공개하는 대가를 요구하는 공격 유형 RDP(Remote Desktop Protocol): 원격 데스크톱 서비스, 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜..