정보 탈취24 Windows 10 설치 프로그램으로 위장해 유포되는 악성코드 최근, Windows 10 운영체제 설치 프로그램으로 위장한 트로이 목마 악성코드가 발견됐다. 보안 업체 Mandiant에 따르면, 이 악성코드는 우크라이나 사용자를 대상으로 하며 토렌트 파일 공유 사이트에서 유포되는 것으로 알려졌다. 해당 악성코드는 Windows 10 설치 프로그램으로 위장한 악성 ISO 파일로, 자동 업데이트 및 라이센스 확인 등을 차단하도록 설계됐다. 설치 이후, 사용자 PC에서 시스템 파일 등을 탈취해 공격자의 C&C 서버로 전송한다. 또한, 지속성을 위한 여분의 백도어 "Sparepart"와 정보 탈취를 위한 백도어 "Stowaway" 등의 추가 악성코드를 설치하는 것으로 알려졌다. 사진출처 : Mandiant 출처 [1] Mandiant (2022.12.15) - Trojan.. 2022. 12. 30. 정보 탈취 기능이 추가된 Venom 악성코드 최근, 악성 원격 관리 소프트웨어인 "Venom" RAT의 변종이 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 웹 사이트를 통해 350달러에 판매되며 주로 스팸 메일을 통해 유포되는 것으로 알려졌다. 해당 악성코드는 키로거, 원격 셸 명령 실행 및 파일 다운로드 등의 기능을 포함하고 있으며, 실행될 경우 ‘svchost.exe’라는 파일명의 자가 복제본을 드롭하고 정상 프로그램으로 위장해 실행된다. 또한, 최신 버전의 "Venom" 악성코드에는 스틸러 모듈이 추가돼 피해자 PC에서 신용카드 정보 등 중요 데이터를 탈취할 수 있다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.13) - Venom RAT Expands Its Operations By Adding A Steal.. 2022. 12. 20. VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드 최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. “Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다. 해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다. 아래는 “M.. 2022. 9. 21. Office 문서에 악성코드를 추가하는 Escanor RAT 최근, 보안 업체 Resecurity가 다크웹과 Telegram에서 발견된 Escanor RAT에 대한 보고서를 발표했다. 보고서에 따르면, 공격자가 Escanor라는 도구를 이용해 Microsoft Office 및 Adobe PDF 문서 등에 악성코드를 삽입한 후 공격을 시도했다고 밝혀졌다. 발견된 악성코드는 Android와 PC 버전의 RAT 악성코드로, HVNC(Hidden Virtual Network Computing) 기능을 통해 피해자의 눈에 띄지 않고 시스템에서 명령을 실행할 수 있다. 또한, 모바일 버전 악성코드는 온라인 뱅킹 사용자로부터 OTP 코드를 탈취하고, 사용자 GPS 좌표 수집 및 키 입력 모니터링 등의 악성 행위를 수행한다. Resecurity의 연구원은 최근 발생한 온라인 뱅.. 2022. 8. 25. Follina 취약점을 이용한 Woody RAT 악성코드 최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다. 해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있.. 2022. 8. 23. PyPI 저장소에서 발견된 악성 Python 패키지 최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C.. 2022. 8. 11. 이전 1 2 3 4 다음
