전체 글 (168) 썸네일형 리스트형 101. 급여명세서 위장 스피어피싱 (to 공무원) 국내 메일 모니터링 중, 2025년 2월 20일에 아래와 같은 메일을 수집했다. 해당 메일은 2025년 2월 급여명세서로 위장한 스피어피싱 메일이다. 스피어피싱 대상은 정부 부처 중 하나인 중소기업벤처부의 한 공무원이었다. 첨부된 New PO (Lotte Korea).html을 열람하면 아래와 같은 페이지가 나타난다. 카카오 로그인 페이지로 위장한 공격자의 피싱 페이지이다. 피해자가 위 피싱 페이지에 아이디/비밀번호를 입력하고 로그인을 누르면 입력한 정보가 공격자의 서버로 전송된다. 아래 코드는 로그인에 연결된 action 부분이다.* C2 서버: hxxps://n*****ge.com/Bruteforce/catiers/muad.php 위 C2 서버의 Bruteforce 경로에 접근하면 아래와 같은 폴더.. 100. Kimsuky's 종신안내장v02_곽성환d X(구 Twitter)를 둘러보던 중, Kimsuky 그룹이 유포한 것으로 보여지는 종신안내장v02_곽성환d.zip 파일을 발견하였다. 이전의 Kimsuky 그룹이 악성코드를 유포했던 방식과 비슷해보인다. 또한, 곽성환 이라는 인물을 특정해 유포한 것으로 보여진다. 여러 공공기관에 곽성환 이라는 이름을 가진 분이 많아서 누구로 특정되었는지는 정확한 정보가 아직 없다. 본 글에서는 해당 파일에 대해 분석한다. * sha256: 079907b7feab3673a1767dbfbc0626e656f5d3b03b6cff471cc7cf8a1973ab34 먼저, 해당 악성코드는 zip 파일로 유포되었다. 크기는 약 7kb이다. 해당 파일을 압축 해제하면 아래와 같이 "종신안내장V02_곽성환D.pdf.pdf.lnk" 파일.. 99. 한국방위산업학회 위장 공격 이메일 국내에서 유포중인 이메일들에 대해 지속적으로 모니터링중에 있는데, 얼마 전 아래와 같은 이메일이 발견되었다. 한국방위산업학회 방위산업 디지털 혁신 세미나를 알리는 메일로 위장한 공격 메일이다. 제목은 아래 그림과 같이 "[최초 수신 메일] 한국방위산업학회 방위산업 디지털 혁신 세미나 계획을 전파드립니다." 로 작성되어있고, 첨부파일로 한글 파일이 첨부되어 있다. 해당 메일에 첨부된 파일을 실행하면 아래 그림과 같이 비밀번호로 보호되어 있는 것을 볼 수 있다. 해당 비밀번호는 메일 본문에 안내되어있었으며, 이 또한 한국방위산업학회의 중요 파일로 위장하기 위해 비밀번호를 설정한 것으로 보여진다. 비밀번호를 입력하고 나면 아래와 같이 pdf와 docx 파일 링크가 본문 내용으로 나타난다. 각각의 파일 링크는 .. 98. Kimsuky's RFA_질문지 및 자유아시아방송 인터뷰 질의서 얼마 전, 모니터링 중이던 한국 url 들 중 특이한 파일명이 발견되었다. 해당 파일명은 first.txt 였으며 접근이 가능하기에 접속해보았는데, 오픈 디렉토리로 공개되어 있는 상태였다. 아래 파일들이 해당 url에서 저장해 둔 파일들이다. 자유아시아방송 인터뷰 질의서.hwp, RFA_질문지.hwp 등의 파일이 존재하는 것으로 보아 자유아시아방송(RFA) 기자를 위장해 타겟팅 한 대상에게 유포하려던 것으로 보여진다. (이미 유포했을 수도 있어보인다.) hwp 파일들은 모두 미끼 파일이며 RFA_질문지.hwp 는 암호화 되어 있고, 자유아시아방송 인터뷰 질의서.hwp 는 아래와 같이 작성되어 있다. 또한, first.txt, log_processlist.ps1, sec.txt, sec.vmd, start.. 97. CharmingKitten's BellaCPP(correlation Sofacy) 얼마 전, 이란 APT 그룹 중 하나인 CharmingKitten(aka APT35)의 새로운 악성코드인 BellaCPP가 발견되었다. 해당 악성코드는 C++로 작성된 Bellaciao의 새로운 종류로 보여진다.https://securityaffairs.com/172299/malware/bellacpp-charming-kittens-bellaciao-variant-written-in-c.html BellaCPP, Charming Kitten's BellaCiao variant written in C++Iran-linked APT group Charming Kitten has been observed using a new variant of the BellaCiao malware dubbed BellaCP.. 96. nj.exe(Quasar RAT) TI 데이터를 모니터링 하던 중, 국내 IP의 웹 페이지를 통해 유포되는 Quasar RAT 악성코드를 발견하였다. Quasar RAT 악성코드는 북한 공격자들에 의해 사용된 적이 있기 때문에, 해당 웹 페이지를 좀 더 살펴보았다. 본 글에서는 해당 내용을 설명한다. 먼저, 해당하는 IP는 아래와 같다. IP 정보로 특정 경로에 대해 웹 접속을 시도하면 저장되어 있는 여러 악성코드들이 나타난다.* IP: 154[.]90[.]62[.]248* 접속 경로: http://154[.]90[.]62[.]248/[wHk로시작하는 12자리 문자]/ 해당 웹 서버에서 얻을 수 있는 모든 악성코드들은 아래와 같다. 키로거(kl.vir)도 포함되어 있으며 netpass(netpass.vir) 악성코드도 포함되어 있다. 이.. 95. DDoSia 러시아의 핵티비스트 그룹인 NoName057(16)이 DDoS 공격에 활용되는 것으로 알려져 있는 DDoSia 악성코드를 분석해보았다. DDoSia 악성코드는 텔레그램 채널을 통해 악성코드 동작 관련 파일들을 유포하기도 한다. * sha256: e8cf6f82a1336b76abb170337985906454f142c5cca33f6aec3591643eaf3268 먼저, 해당 악성코드는 Go 언어로 작성되었다. 공격자는 악성코드의 실행이 운영체제나 피해자 환경에 구애 받지 않도록 크로스 컴파일 기능이 존재하는 Go 언어를 사용한 것으로 보여진다. DDoSia 악성코드는 공격자 C2와 지속적으로 통신하며 공격을 수행한다. 악성코드 실행 시 가장 먼저 C2의 login 엔드포인트를 통해 로그인 과정을 수행한다. .. 94. Lazarus's Beavertail 3 (Python) 개인적으로 운용중인 OpenCTI에서 또 다른 Lazarus 그룹의 Beavertail 악성코드가 발견되었다. 이전의 Beavertail 악성코드와 비슷한 형태를 띄고 있다. 이전 악성코드 분석 글은 아래 링크에 존재한다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위p3ngdump.tistory.comhttps://p3ngdump.tistory.com/158 88. Lazarus's BeaverTail 2 (Python).. 이전 1 2 3 4 ··· 21 다음
