백도어32 전세계를 표적으로 활동하는 FamousSparrow 최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h.. 2021. 9. 24. 러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장 "Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 .. 2021. 9. 2. GO 언어로 제작된 악성코드 Klingon RAT 2019년부터 백신 프로그램 탐지 회피 및 다양한 OS 사용자 타겟으로 공격이 가능하다는 이유에서 기존의 프로그래밍 언어가 아닌 GO 언어로 제작된 악성코드가 등장하기 시작했다. 최근에는 점차 GO 언어를 사용해 제작된 악성코드가 증가하고 있다. 2021년 2월경, 자사에서는 GO 언어로 제작된 "Electro RAT" 분석글을 게시하였으며 해당 글의 링크는 아래에 첨부되어 있다. 2021.02.09 - [악성코드 분석] ElectroRAT 악성코드 분석 보고서 최근 GO 언어로 제작된 새로운 악성코드 "Klingon RAT"이 등장했다. "Klingon RAT"은 백신 프로그램 종료를 시도하며 관리자 권한을 획득한다. 최종적으로 해당 악성코드는 C&C 서버를 이용해 정보를 탈취하고, 사용자의 PC를 제.. 2021. 6. 25. SharpPanda의 동남아시아 외무부 공격 Check Point 연구팀이 동남아시아 정보의 외무부를 타겟으로 하는 중국의 APT 그룹인 SharpPanda의 공격을 발견하였다. 해당 APT 공격은 정부기관을 사칭하여 악성 문서를 포함한 피싱 메일을 유포하였으며, 해당 문서를 실행하면 추가로 악성 문서인 RoyalRoad를 다운로드 한다. RoyalRoad 악성코드는 MS Office 취약점인 CVE-2017-11882, CVE-2018-0798 및 CVE-2018-0802를 악용한 문서로, 최종적으로 백도어를 설치하여 사용자 PC를 감시하고 민감한 데이터를 훔칠 수 있다. 사진 출처 : https://research.checkpoint.com/2021/chinese-apt-group-targets-southeast-asian-government-.. 2021. 6. 7. 공격 대상으로 MS Exchange Server를 추가한 LemonDuck 악성코드 2018년 12월 말 처음 발견된 “LemonDuck”은 Linux 시스템을 대상으로 하여 Linux 루트 계정 비밀번호를 무차별 대입 공격을 통해 SSH 원격 접속을 하거나 Windows 시스템 대상으로 악성 문서 파일이 첨부된 메일을 통해 유포되었다. 하지만 2021년 3월경, “LemonDuck”이 공격 대상에 MS Exchange Server를 추가하였고, 해당 서버의 취약점을 악용하여 유포되기 시작했다. 해당 악성코드는 공격자의 서버에서 페이로드를 다운로드한 후 백신 프로그램으로 위장한 서비스를 생성해 코인 마이너를 등록하고, 공격에 사용된 웹 쉘을 사용자의 폴더에 숨긴다. 또한, 사용자의 PC에 관리자 권한이 있는 계정을 생성하여 RDP(원격 데스크톱) 연결을 활성화하고, 최종적으로 감염된 P.. 2021. 5. 18. Windows 침투 테스트 툴을 위장한 Lizar 악성코드 사이버 범죄 집단 FIN7이 Windows 침투 테스트 툴을 위장하여 Lizar 백도어 악성코드를 배포한 것으로 알려졌다. BI.ZONE 사이버 위협 연구팀에 따르면, Lizar는 로더 및 다양한 플러그인으로 구성되어 있으며, 감염된 시스템에서 함께 실행되고, 봇 클라이언트로 결합하여 원격 서버와 통신한다. Lizar의 플러그인은 Mimikatz 및 Carbanak과 같은 다른 악성코드를 로드하고, 피해자 정보를 검색하며, 스크린샷을 찍고, 자격 증명을 수집하는 등의 악성행위를 수행한다. 닷넷 프레임워크로 작성된 Lizar 서버 애플리케이션은 원격 리눅스 호스트에서 실행되며, 봇 클라이언트와의 암호화된 통신을 지원한다. [사진 출처 : https://bi-zone.medium.com/from-pentes.. 2021. 5. 17. 이전 1 2 3 4 5 6 다음
