분석 정보/악성코드 분석 정보389 VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드 최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M.. 2022. 9. 21. Follina 취약점을 이용한 Woody RAT 악성코드 최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다. 해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있.. 2022. 8. 23. 리눅스 장비를 노리는 XorDDoS 악성코드 “XorDDoS” 악성코드는 2014년 처음 발견된 이후 최근까지 지속적으로 유포되고 있다. 공격자로부터 전달되는 명령, C&C 서버 주소 등 악성 행위에 필요한 데이터를 XOR 연산으로 디코딩하여 사용하는 특징을 가져 “XorDDoS” 라는 이름으로 명명 되었으며, IoT 장비 혹은 리눅스 서버를 감염하기 위해 ARM, x86 및 x64와 같은 다양한 Linux 아키텍처 버전으로 제작되었다. 공격자는 주로 SSH Brute Force 공격을 통해 공격 대상의 자격 증명을 획득하고 “XorDDoS” 악성코드를 설치한다. 이렇게 실행된 “XorDDoS” 는 자가복제 후 재실행, 프로세스명 변경 및 루트킷 등을 통해 탐지를 회피하려 하며 공격자의 명령을 전달받아 DDoS 공격을 수행한다. 자가복제 및 재실행.. 2022. 8. 10. 리눅스 환경에서 패킷 필터를 악용하는 BPFDoor 악성코드 발견 지난 5월 경, 리눅스 환경에서 사용하는 패킷 필터를 악용하는 “BPFDoor” 악성코드가 발견됐다. 해당 악성코드는 BPF(Berkely Packet Filter)를 사용해 공격자의 C&C 서버에서 받은 패킷을 필터링한 후, 악성 행위를 수행한다. 또한, 정상적으로 연결되면 공격자가 대상 서버에서 임의의 명령을 실행할 수 있다. 자가 복제 및 실행“BPFDoor” 악성코드를 실행하면 ‘/dev/shm/kdmtmpflush’로 자가 복제한 후, 복사한 파일의 권한을 755로 변경한다. 이 경우 자가 복제한 파일의 소유자는 모든 권한을 부여하고, 그 외 사용자는 읽기와 실행만 가능하도록 설정한다. 또한, 파일의 시간(타임스탬프 값)을 2008년에 생성된 파일로 보이도록 수정한다. 그후, --init 인.. 2022. 8. 9. 오픈소스 코드가 공개된 Luca Stealer 악성코드 최근 “Luca Stealer” 악성코드가 출시되고, 개발자가 해당 악성코드의 오픈 소스 코드를 해커 포럼에 공개했다. 해당 악성코드는 Rust 언어를 이용해 제작되어 여러 운영 체제를 표적으로 삼을 수 있지만 현재는 윈도우 운영 체제 만을 대상으로 하는 것으로 알려져 있다. 또한, 악성코드 개발자와의 접촉에서 “Luca Stealer” 악성코드의 오픈 소스 코드를 공개한 이유는 해커 포럼에서 평판을 얻어 다음 악성코드 프로젝트를 판매하기 위함이라고 밝혔다. “Luca Stealer” 정보 탈취 악성코드는 “Chromium” 기반 브라우저와 “FireFox”를 대상으로 로그인 자격 증명, 신용 카드 및 쿠키 정보 등을 탈취한다. 또한, 암호 화폐 지갑과 다양한 메신저의 토큰을 탈취하고, 사용자의 시스템 .. 2022. 8. 1. 취약점을 이용하여 배포되는 AsyncRAT 악성코드 최근 “AsyncRAT” 악성코드가 트렌드에 맞춘 주제를 통해 활발히 배포되기 시작했다. “AsyncRAT” 악성코드는 콜롬비아 전역에 스팸 메일을 통해 퍼졌으며 코로나 이슈가 잠잠해지면서 여행 법률 완화로 인해 늘어난 여행객을 대상으로 여행 관련 정보 파일로 위장해 “AsyncRAT” 악성코드를 유포한 바 있다. 또한, 문서 파일을 이용해 원격 코드 실행이 가능한 “CVE-2022-30190” Follina 취약점을 이용해 해당 악성코드를 배포한 이력이 있다. 아래는 자사 블로그에 게시된 Follina 취약점에 관련된 글이다. 2022.06.03 - [취약점 정보] - 원격으로 코드 실행하는 Follina 취약점 주의 “AsyncRAT” 악성코드는 작업 스케줄러에 등록되거나 레지스트리 등록을 통해 지속.. 2022. 6. 23. 이전 1 ··· 4 5 6 7 8 9 10 ··· 65 다음
