올해 5월 초 스파크랫(SparkRAT)이 국내 VPN 설치 파일에 포함돼 유포된 사건이 있었다. 이후 조치가 완료됐지만, 최근 해당 VPN 업체의 인스톨러(Installer)에서 스파크랫을 설치하는 악성코드가 또다시 유포된 정황이 확인됐다. 이번 공격은 일정 […]
북한 공격 그룹 김수키(Kimsuky)가 또다시 말썽을 부리고 있다. 안랩 분석팀에 따르면, 지금까지 김수키는 주로 메일에 MS 오피스 문서 파일이나 원노트(OneNote), CHM과 같은 악성 파일을 첨부하는 스피어 피싱 등 사회공학적 방식을 […]
안랩 분석팀이 최근 로키로커(LokiLocker) 랜섬웨어가 국내에 유포 중인 정황을 확인했다. 2021년 8월부터 유포되기 시작한 이 랜섬웨어는 흔하지 않은 코드 난독화 기술을 사용하고 기간 내에 몸값을 지불하지 않으면 파일을 삭제한다는 것이 […]
SqlShell은 웹 서버에 설치될 수 있는 웹셸(WebShell)과 유사하게 MS-SQL 서버에 설치돼 공격자의 명령을 실행하거나 다양한 악의적 행위를 수행할 수 있는 기능을 지원하는 악성코드이다. MS-SQL 서버에서는 확장된 기능을 사용할 수 있도록 […]
북한 APT 공격 그룹으로 알려진 ‘김수키(Kimsuky)’가 유포하는 악성코드가 지속적으로 확인되고 있다. 안랩은 2021년과 2022년, 워드(Word) 파일을 통해 유포되는 악성코드를 다수 확인하여, 분석 보고서 및 ASEC 블로그를 통해 공유해왔다. 최근 김수키 […]
안랩은 자사 ASD(AhnLab Smart Defense) 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 이 글에서는 2023년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL […]
최근 안랩은 북한 해킹 그룹 ‘레드아이즈(RedEyes)’가 링크(LNK) 파일을 통해 록랫(RokRAT) 악성코드를 유포 중인 정황을 포착했다. 록랫 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드하며, 과거 한글 및 워드 문서를 통해 유포된 […]
안랩 분석팀은 최근 8220 갱단(8220 Gang)이 VM웨어 호라이즌(Horizon) 서버를 대상으로 로그4셸(Log4Shell) 취약점을 이용해 코인 마이너 악성코드를 설치한 정황을 포착했다. 주요 표적은 취약점이 패치되지 않은 시스템을 운영 중인 국내 에너지 기업인 […]
최근 뱅킹형 악성코드 ‘칵봇(Qakbot)’이 국내 사용자를 대상으로 유포되고 있다. 안랩 분석팀이 확인한 결과, 이번에는 원본 메일을 악용하는 이메일 하이재킹 기법이 사용됐다. 실제 사례를 바탕으로 칵봇 악성코드의 유포 과정을 자세히 알아보자. […]
안랩 ASEC 분석팀이 2023년 3월 19일부터 3월 25일까지 확인된 피싱 사례와 이를 유형별로 분류한 통계 정보를 공개했다. 올해 3월에는 세금, PO(Purchase Order), 수입신고수리내역서 등의 내용으로 위장해 가짜 페이지(FakePage, 59%) 접속을 […]
최근 원노트(OneNote)를 통해 이모텟(Emotet) 악성코드가 유포되고 있다. 공격자는 스피어피싱을 기반으로 하는 이메일을 통해 사용자의 클릭을 유도하는 것이 특징이다. 이번 글에서는 최근 빈번하게 발생하고 있는 원노트를 악용한 악성코드 유포 방식을 자세하게 […]
사례비 지급 내용으로 위장한 악성코드가 유포되고 있다. 원노트(OneNote)를 악용한 이 악성코드는 지난달 패스워드 파일 형태로 악성코드를 유포했던 김수키(Kimsuky) 해커 조직의 소행으로 추정된다. 사칭 대상, VB스크립트(VBScript) 파일의 악성 행위 등이 매우 […]
지난 달 안랩은 패스워드 파일로 위장해 압축 파일 형태로 유포 중인 악성코드를 발견했다. 최근 확인된 유형으로는 CHM, LNK 악성코드가 있다. 이들은 암호가 설정된 정상 문서 파일과 함께 유포된 것으로 추정된다. […]
안랩 ASEC 분석팀이 2023년 2월 19일부터 2월 25일까지 발생한 피싱(Phishing) 메일 공격을 모니터링했다. 피싱은 특정 기관이나 기업, 개인 등을 사칭한 공격자가 이메일을 통해 악성코드를 유포하고, 사용자의 계정 정보를 유출하기 위한 […]
어느 날 갑자기 해외 결제 문자를 받은 적이 한 번쯤 있을 것이다. 해외 직구를 한 적도 없는데 말이다. 이는 해외 결제를 사칭한 사기 문자이다. 포털이나 카드사가 해킹을 당해 개인 및 […]
최근 운송 회사 사칭 메일이 ‘수입 통관 정보 제출 안내’라는 제목으로 유포되고 있다. 해당 메일이 유포된 과정을 자세히 알아보자. 메일 본문에는 [그림 1]과 같이 파일명이 ‘DHL_KOREA’로 시작하는 HTML […]
대다수 공격자가 악성코드를 유포할 때 크랙(Crack) 등 불법 소프트웨어로 위장한 사이트를 이용한다. 공격자는 유료 소프트웨어 크랙이나 시리얼 생성기와 같은 프로그램 형태로 악성코드를 업로드하고, 사용자가 해당 프로그램을 설치하는 과정에서 악성코드에 감염된다. […]
매년 밸런타인데이 전후로 ‘로맨스 스캠(Romance Scam)’이 급증한다. 로맨스 스캠은 SNS나 메신저 등으로 신분을 사칭하고 불특정 이성에게 접근해 금전을 요구하는 사기 수법이다. 최근 코로나 19의 여파로 국내에서도 온라인 데이팅 앱이 활성화되기 […]
