본문 바로가기

Analysis

(105)
106. Beavertail in github Lazarus 그룹이 사용하는 것으로 알려진 Beavertail 악성코드가 Github을 통해 유포되고 있는 것으로 보여진다. LOTS(Living Off Trusted Site) 기법을 사용해 유포하는 것으로 보여진다.Beavertail 악성코드의 경우, 이전에 스피어피싱 메일 등을 통해 유포된 적이 존재한다.https://asec.ahnlab.com/ko/87227/ 채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor) - ASEC2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링asec.ahnlab.co..
105. Kimsuky's Naver Phishing 보호되어 있는 글입니다.
104. Kimsuky's link to picture.lnk 2025년 05월 14일 VirusTotal에 link to picture.lnk 파일이 업로드되었다. 해당 파일은 lnk 형식을 띄며 파워쉘을 호출하는 등 여러 특징으로 보아 Kimsuky 그룹이 유포한 것으로 보여진다. 본 글에서는 해당 파일을 분석한다.* sha256: 7210ba8af9d40f85dc611a2b31b81e1addc257dba51eaf56402e82f193887650 먼저, link to picture.lnk 파일은 아래와 같이 lnk 파일 형식을 가지고 있다. 형식은 lnk이지만 실제 악성 행위를 수행하는 코드는 파일 내부에 파워쉘 코드로 작성되어있다. 파일 내 파워쉘 코드를 파싱해보면 아래와 같은 코드를 볼 수 있다. 해당 코드는 main.ps1 이라는 파일을 생성하는 파워쉘 코..
103. OpenSource Attack Tool (tgh.ps1, donut loader) 최근 다른 개발물들과 같이 악성코드, 공격 도구들도 오픈소스로 공개되는 정황이 종종 보인다. 이전에 경찰청 피싱 페이지 소스를 오픈소스로 공개했던 한 저장소에 2달전에 업로드 되었던 공격 도구를 발견해 분석해봤다. 해당 공격 도구는 2달 전에 오픈소스 플랫폼에 업로드되었다. 업로드 된 공격 도구는 NukeAMSI 라는 도구이다. NukeAMSI는 Windows 환경에 존재하는 AMSI(Antimalware Scan Interface)를 우회하는 Powershell 기반 도구이다. 즉, 해당 공격 도구는 Windows 환경을 대상으로 하고 있으며 보안 설정을 우회하고 추가적인 악성코드를 다운로드 한다. 추가 다운로드되는 악성코드는 "telegramget-stream.ps1" 이라는 이름을 가지고 있다. 공..
102. Operation Salary 지난 2024년 12월부터 현재 2025년 4월경까지 국내에 지속적으로 "x월 급여명세서" 이름의 해킹 메일이 유포되고 있다. 대부분의 메일은 피해자가 본문 내 파일 아이콘을 클릭하면 의도한 피싱 페이지로 접근시켜 피해자의 계정 정보 등을 탈취한다. 유포된 메일이 피해자 정보를 탈취하는 방식은 다양하다. 피싱 페이지로 연결을 통해 페이지를 통해 탈취하는 것부터 텔레그램 봇을 이용하는 방식까지 여러 방식이 사용된다. 이 점으로 보아, 급여명세서 위장 메일 공격은 북한 관련 공격 그룹이 급여 명세서 테마로 공격을 수행하는 것으로 보여진다. 본 글에서는 급여명세서 위장 메일 공격들에 대해 분석한다. 12월 급여 명세서 위장가장 먼저 급여명세서 위장 메일을 포착한 것은 지난 2024년 12월이다. kaist의 ..
101. 급여명세서 위장 스피어피싱 (to 공무원) 국내 메일 모니터링 중, 2025년 2월 20일에 아래와 같은 메일을 수집했다. 해당 메일은 2025년 2월 급여명세서로 위장한 스피어피싱 메일이다. 스피어피싱 대상은 정부 부처 중 하나인 중소기업벤처부의 한 공무원이었다.  첨부된 New PO (Lotte Korea).html을 열람하면 아래와 같은 페이지가 나타난다. 카카오 로그인 페이지로 위장한 공격자의 피싱 페이지이다. 피해자가 위 피싱 페이지에 아이디/비밀번호를 입력하고 로그인을 누르면 입력한 정보가 공격자의 서버로 전송된다. 아래 코드는 로그인에 연결된 action 부분이다.* C2 서버: hxxps://n*****ge.com/Bruteforce/catiers/muad.php 위 C2 서버의 Bruteforce 경로에 접근하면 아래와 같은 폴더..
100. Kimsuky's 종신안내장v02_곽성환d X(구 Twitter)를 둘러보던 중, Kimsuky 그룹이 유포한 것으로 보여지는 종신안내장v02_곽성환d.zip 파일을 발견하였다. 이전의 Kimsuky 그룹이 악성코드를 유포했던 방식과 비슷해보인다. 또한, 곽성환 이라는 인물을 특정해 유포한 것으로 보여진다. 여러 공공기관에 곽성환 이라는 이름을 가진 분이 많아서 누구로 특정되었는지는 정확한 정보가 아직 없다. 본 글에서는 해당 파일에 대해 분석한다. * sha256: 079907b7feab3673a1767dbfbc0626e656f5d3b03b6cff471cc7cf8a1973ab34 먼저, 해당 악성코드는 zip 파일로 유포되었다. 크기는 약 7kb이다. 해당 파일을 압축 해제하면 아래와 같이 "종신안내장V02_곽성환D.pdf.pdf.lnk" 파일..
99. 한국방위산업학회 위장 공격 이메일 국내에서 유포중인 이메일들에 대해 지속적으로 모니터링중에 있는데, 얼마 전 아래와 같은 이메일이 발견되었다. 한국방위산업학회 방위산업 디지털 혁신 세미나를 알리는 메일로 위장한 공격 메일이다. 제목은 아래 그림과 같이 "[최초 수신 메일] 한국방위산업학회 방위산업 디지털 혁신 세미나 계획을 전파드립니다." 로 작성되어있고, 첨부파일로 한글 파일이 첨부되어 있다. 해당 메일에 첨부된 파일을 실행하면 아래 그림과 같이 비밀번호로 보호되어 있는 것을 볼 수 있다. 해당 비밀번호는 메일 본문에 안내되어있었으며, 이 또한 한국방위산업학회의 중요 파일로 위장하기 위해 비밀번호를 설정한 것으로 보여진다. 비밀번호를 입력하고 나면 아래와 같이 pdf와 docx 파일 링크가 본문 내용으로 나타난다. 각각의 파일 링크는 ..