From ahnlab.com
1 1
AhnLab SEcurity intelligence Center (ASEC) recently identified the distribution of GuLoader malware via a phishing email by impersonating a famous international shipping company. The phishing email was obtained through the email honeypot operated by ASEC. The mail body instructs users to check...
8h ago
From ahnlab.com
0 1
BPFDoor is a Linux-based backdoor malware. AhnLab previously published their EDR detection information on this malware through the ASEC blog in October 2024. KISA recently shared threat information and warnings on BPFDoor, which has been exploited in hacking attacks. V3 detection information on...
on Fri, 5PM
From ahnlab.com
Report on Ransomware Attacks Targeting Korean Companies - ASEC
0 1
Overview In recent years, ransomware attacks have been increasing worldwide, with Korean companies also experiencing a rise in cases. Especially since 2023, there has been a sharp surge in ransomware incidents targeting the Asia region, highlighting the need for a systematic analysis of this...
on Fri, 4PM
From ahnlab.com
Phishing Emails Impersonating the National Tax Service (NTS) - ASEC
0 1
AhnLab SEcurity intelligence Center (ASEC) has recently identified phishing emails impersonating the tax authority in Korea called National Tax Service (NTS, also known as Hometax). The email body is disguised as the contents of an electronic tax invoice, and the recipient is asked to open the...
on Fri, 10AM
From ahnlab.com
Distribution of PebbleDash Malware in March 2025 - ASEC
0 0
PebbleDash is a backdoor malware that was previously identified by the Cybersecurity and Infrastructure Security Agency (CISA) in the U.S. as a backdoor malware of Lazarus (Hidden Corba) in 2020. At the time, it was known as the malware of the Lazarus group, but recently, there have been more...
on Apr 24
From ahnlab.com
Malicious LNK Disguised as Notices - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) recently discovered a malicious LNK file being distributed to Korean users for the purpose of stealing user information. This type of malware collects various valuable data for threat actors, such as data related to virtual assets, browsers, public...
on Apr 24
From ahnlab.com
Distribution of Malware Exploiting Vulnerable Innorix: Andariel - ASEC
0 0
ASEC (AhnLab Security Emergency response Center) analysis team has discovered the distribution of malware targeting users with vulnerable versions of Innorix Agent. The collected malware is a backdoor that attempts to connect to a C&C server. Figure 1. Vulnerability security update notice from...
on Apr 24
From ahnlab.com
Case of Attacks Targeting MS-SQL Servers to Install Ammyy Admin - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) recently identified cases of attacks installing Ammyy Admin on poorly managed MS-SQL servers. Ammyy Admin is a remote control tool used to control systems remotely along with AnyDesk, ToDesk, TeamViewer, etc. When these tools are used properly, they...
on Apr 22
From ahnlab.com
고지서를 위장하여 정보를 탈취하는 악성 LNK - ASEC
0 0
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 악성 LNK 파일이 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 해당 유형은 가상자산 관련 데이터, 브라우저 데이터, 공인인증서, 이메일 파일 등 공격자에게 가치 있는 다양한 데이터를 수집하며, 키로깅도 수행한다. 확인된 악성 LNK 파일은 다음과 같이 고지서를 위장한 파일명을 가지고 있다. 지방세입 고지서.pdf.lnk 성범죄자 신상정보 고지.pdf.lnk [표 […]
on Apr 22
From ahnlab.com
2025년 3월 PebbleDash 악성코드 유포 사례 - ASEC
0 0
PebbleDash 백도어 악성코드는 지난 2020년에 미국 국토부 산하기관인 CISA에서 명명한 Lazarus(Hidden Corba)의 백도어 악성코드이다. 당시에는 Lazarus 그룹의 악성코드로 알려져있었지만 최근들어 Lazarus 그룹의 공격 사례보다는 개인을 대상으로 악성코드 유포를 일삼는 Kimsuky 그룹의 공격 사례에서 PebbleDash 악성코드가 다수 확인되고 있다. 본 보고서에서는 Kimsuky 그룹의 PebbleDash 악성코드 최신 유포 과정과 PebbleDash와 함께 확인되는 악성코드와 추가...
on Apr 22
From ahnlab.com
APT Group Profiles - Larva-24005 - ASEC
0 0
1) Introduction During the breach investigation process, the AhnLab SEcurity intelligence Center (ASEC) discovered a new operation related to the Kimsuky group and named it Larva-24005.1 The threat actors exploited the RDP vulnerability to infiltrate the system. They then changed the...
on Apr 21
From ahnlab.com
0 0
국가별 주요 APT 그룹 동향 1) 북한 북한의 APT 그룹들이 가장 활발하게 활동했다. 이메일을 이용한 접근 방식 외에 타깃이 활동하는 커뮤니티 게시판에 악성코드를 포함한 게시하기도 했으며, 가짜 취업 인터뷰를 이용한 공격에서는 클릭픽스 (ClickFix) 기법을 이용했다. 북한 APT 그룹은 유행하는 공격 기법도 적극 활용하고 있다. Kimsuky Kimsuky 그룹은 통일 분야 교육 […]
on Apr 16
From ahnlab.com
APT그룹 추적 보고서 - Larva-24005 - ASEC
0 0
1) 소개 안랩 ASEC(AhnLab SEcurity intelligence Center)은 침해 사고 조사 과정에서 Kimsuky 그룹과 연관된 새로운 오퍼레이션을 발견하고 Larva-24005로 명명했다.[1] 이들은 RDP 취약점으로 최초 침투 후 MySpy 악성코드로 시스템 설정을 변경하고, RDPWrap을 설치해 지속적인 원격 접근 환경을 만들었다. 또, 사용자의 키보드 입력을 저장하는 키로거를 감염시켰다. 포렌식 분석을 통해 확인된 위협 정보는 ATIP을 […]
on Apr 14
From ahnlab.com
Mark of the Web (MoTW) Bypass Vulnerability - ASEC
0 0
Overview Mark of the Web (MoTW) is a Windows feature that identifies files downloaded from the Internet and displays a security warning, as well as restricts the files to be executed with a warning message or in a protected mode. However, threat actors have been bypassing Mark of the Web (MoTW)...
on Apr 7
From ahnlab.com
BeaverTail and Tropidoor Malware Distributed via Recruitment Emails - ASEC
0 1
On November 29, 2024, a case was disclosed in which threat actors impersonated a recruitment email from a developer community called Dev.to to distribute malware. [1] In this case, the attacker provided a BitBucket link containing a project, and the victim discovered malicious code within the...
on Apr 3
From ahnlab.com
채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor) - ASEC
0 0
2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링크를 전달하였으며 피해자는 프로젝트 내부에 악성코드가 포함된 것을 확인하고 커뮤니티에 공개하였다. 프로젝트 내부에는 “tailwind.config.js”라는 이름으로 존재하는 BeaverTail 악성코드와 함께 “car.dll”이라는 이름의 다운로더 악성코드가 있었다. Figure 1. 개발자 커뮤니티에서 공개된 공격 […]
on Apr 2
From ahnlab.com
Remcos RAT Malware Disguised as Major Carrier's Waybill - ASEC
0 1
AhnLab SEcurity intelligence Center (ASEC) has recently discovered the Remcos malware disguised as a waybill from a major shipping company. This article details the distribution distribution flow from HTML, JavaScript, and AutoIt scripts leading to the execution of the final Remcos malware. ...
on Apr 1
From ahnlab.com
ACRStealer Infostealer Exploiting Google Docs as C2 - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) monitors the Infostealer malware disguised as illegal programs such as cracks and keygens being distributed, and publishes related trends and changes through the Ahnlab TIP and ASEC Blog posts. While the majority of the malware distributed in this...
on Mar 29
From ahnlab.com
Rhadamanthys Infostealer Being Distributed Through MSC Extension - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has confirmed that Rhadamanthys Infostealer is being distributed as a file with the MSC extension. The MSC extension is an XML-based format that is executed by the Microsoft Management Console (MMC), and it can register and execute various tasks such as...
on Mar 28
From ahnlab.com
LummaC2 Malware Distributed Disguised as Total Commander Crack - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has discovered the LummaC2 malware being distributed disguised as the Total Commander tool. Total Commander is a file manager for Windows that supports various file formats. It offers convenient file management features such as copy and move features,...
on Mar 28
From ahnlab.com
Malicious HWP Document Disguised as Reunification Education Support Application - ASEC
0 0
On March 5, AhnLab SEcurity intelligence Center (ASEC) found a post recruiting students for a unification-related course, which included a link to download a malicious HWP document. At the time of analysis, there were download links for JPG, HWP, and DOC files at the bottom of the post. The HWP...
on Mar 17
From ahnlab.com
통일 교육 지원서로 위장한 악성 한글 문서 - ASEC
0 0
AhnLab SEcurity intelligence Center(ASEC)은 지난 3월 5일 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 확인하였다. 분석 당시 게시 글 하단에는 각각 JPG, HWP, DOC 파일에 대한 다운로드 링크가 존재하였으며, 이 중 HWP 형식의 파일은 지원서를 위장한 악성 파일로 확인되었다. 그림 1. 게시 글 하단에 존재하는 다운로드 링크 다운로드 […]
on Mar 14
From ahnlab.com
GitLab Product Security Update Advisory - ASEC
0 0
Overview We have released security updates to fix vulnerabilities in GitLab products. Users of affected products are advised to update to the latest version. Affected Products CVE-2025-0475, CVE-2025-0555 GitLab CE/EE Version: ~17.7.6 (excluded)GitLab CE/EE version: ~17.8.4 (excluded)GitLab...
on Mar 10
From ahnlab.com
Analysis of Lazarus Group’s Attack on Windows Web Servers - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has identified attack cases of the Lazarus group breaching a normal server and using it as a C2. Attacks that install a web shell and C2 script on South Korean web servers continue to occur. Additionally, there are cases where LazarLoader malware and...
on Mar 10
From ahnlab.com
Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석 - ASEC
0 0
AhnLab SEcurity intelligence Center(ASEC)은 정상 서버를 침해해 C2로 악용하는 Lazarus 그룹의 공격 사례들을 확인하였다. 국내 웹 서버를 대상으로 웹쉘 및 C2 스크립트를 설치하는 공격 사례들은 지속적으로 발생하고 있으며 나아가 LazarLoader 악성코드와 권한 상승 도구가 확인되는 사례들도 존재한다. 1. C2 스크립트 (Proxy) 2024년 5월 Lazarus 그룹이 국내 웹 서버를 공격해 첫 번째 단계의 C2 서버로 […]
on Mar 5
From ahnlab.com
Phishing Email Attacks by the Larva-24005 Group Targeting Japan - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has identified the behavior of Larva-24005 breaching servers in Korea and then establishing a web server, database, and PHP environment for sending phishing emails. Larva-24005 is using the attack base to target not only South Korea but also Japan....
on Mar 3
From ahnlab.com
일본을 노리는 Larva-24005 그룹의 피싱 메일 공격 사례 - ASEC
0 0
ASEC(AhnLab SEcurity intelligence Center)은 Larva-24005가 국내에서 운영되고 있는 서버를 침해한 뒤, 피싱 메일 발송을 위한 웹 서버, 데이터베이스, PHP 환경을 구축하는 행위를 확인했다. Larva-24005는 공격 거점을 이용해 국내 뿐만 아니라 일본도 공격 대상으로 삼고 있는 것으로 확인됐다. 주요 공격 대상은 대북 관련 종사자와 북한 체제와 관련된 연구를 하는 대학 교수 등이며 피싱 메일 공격을 […]
on Feb 27
From ahnlab.com
0 0
안랩 위협 행위자 분류 체계는정보의 불확실성을 인정하고 이를 관리하는 방식과 위협 행위자의 변화를 지속적으로 반영할 수 있도록 하며 4단계 위협 행위 관리법을 통해 개별 공격부터 장기적인 캠페인까지 체계적으로 분석할 수 있는 프레임워크를 제시합니다.
on Feb 27
From ahnlab.com
CoinMiner Malware Distributed via USB - ASEC
0 1
Overview AhnLab SEcurity intelligence Center (ASEC) has recently identified a case in which cryptocurrency-mining malware was being distributed via USB in South Korea. Lately, malware that mines cryptocurrencies by utilizing PC resources without user consent has been actively distributed as...
on Feb 11
From ahnlab.com
January 2025 Threat Trend Report on APT Attacks (South Korea) - ASEC
0 1
Overview AhnLab is monitoring Advanced Persistent Threat (APT) attacks in South Korea using its own infrastructure. This report covers the classification and statistics of APT attacks in South Korea that have been identified over the course of a month in January 2025, as well as the features of...
on Feb 11
From ahnlab.com
Persistent Threats from the Kimsuky Group Using RDP Wrapper - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has previously analyzed cases of attacks by the Kimsuky group, which utilized the PebbleDash backdoor and their custom-made RDP Wrapper. The Kimsuky group has been continuously launching attacks of the same type, and this post will cover additional...
on Feb 5
From ahnlab.com
RDP Wrapper를 활용한 Kimsuky 그룹의 지속적인 위협 - ASEC
0 0
AhnLab SEcurity intelligence Center(ASEC)은 과거 “PebbleDash와 RDP Wrapper를 악용한 Kimsuky 그룹의 최신 공격 사례 분석” [1] 보고서를 통해 PebbleDash 백도어와 자체 제작한 RDP Wrapper를 활용하는 Kimsuky 그룹의 공격 사례를 공개한 바 있다. Kimsuky 그룹은 최근까지도 동일한 유형의 공격을 지속적으로 수행하고 있으며 여기에서는 추가적으로 확인된 악성코드들을 정리한다. 1. 개요 공격자는 스피어 피싱 공격으로 악성 명령어가 […]
on Feb 4
From ahnlab.com
RID Hijacking Technique Utilized by Andariel Attack Group - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) has identified the Andariel attack group using a malicious file to perform an RID Hijacking attack during the breach process. RID Hijacking is an attack technique that involves modifying the Relative Identifier (RID) value of an account with...
on Jan 24
From ahnlab.com
Andariel 공격 그룹이 활용하는 RID Hijacking 공격 기법 - ASEC
0 0
ASEC(AhnLab SEcurity intelligence Center)은 Andariel 공격 그룹이 침해 과정에서 악성 파일을 이용해 RID Hijacking 공격을 수행하는 것을 확인했다. RID Hijacking은 일반 사용자나 게스트 계정과 같이 제한된 권한을 가진 계정의 RID(상대 식별자)값을 관리자와 같이 높은 권한을 가진 계정의 RID 값으로 변조하는 공격 기법이다. 한국인터넷진흥원에서 공개한 “TTPs #11: Operation An Octopus – 중앙 집중형 관리 솔루션을 […]
on Jan 23
From ahnlab.com
Infostealer LummaC2 Spreading Through Fake CAPTCHA Verification Page - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) previously introduced the DarkGate malware which spreads using the paste function in a blog post. Warning Against Phishing Emails Prompting Execution of Commands via Paste (CTRL+V) The distribution method in this case initially involved spreading...
on Jan 13
From ahnlab.com
Increase in Distribution of AutoIt Compile Malware via Phishing Emails - ASEC
0 0
Overview AhnLab SEcurity intelligence Center (ASEC) posts information about malware distributed through phishing emails on a weekly basis on the ASEC Blog under the title “Weekly Phishing Email Distribution Cases.” While the distribution of EXE files was overwhelmingly dominated by malware of...
on Jan 10
From ahnlab.com
December 2024 Threat Trend Report on Ransomware - ASEC
0 0
This report provides statistics on the number of new ransomware samples, number of targeted systems, and targeted companies collected in November 2024, as well as major Korean and international ransomware issues worth noting. Below are the summarized details. The number of ransomware samples and...
on Jan 9
From ahnlab.com
2024년 12월 APT 공격 동향 보고서(국내) - ASEC
0 0
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 12월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2024년 12월 APT 국내 공격 통계 국내 유포가 확인된 APT 공격에 대해서는 침투 유형별로 분류하였으며 대부분 Spear Phishing […]
on Jan 9
From ahnlab.com
LummaC2 Malware Abusing the Game Platform ‘Steam’ - ASEC
0 0
LummaC2 is an Infostealer that is being actively distributed, disguised as illegal programs (e.g. cracks, keygens, and game hacking programs) available from distribution websites, YouTube, and LinkedIn using the SEO poisoning technique. Recently, it has also been distributed via search engine...
on Jan 9
From ahnlab.com
AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지 - ASEC
0 0
Play 랜섬웨어는 Balloonfly 또는 PlayCrypt라고도 불리며 2022년 6월 최초로 확인된 이후 현재까지 전 세계에서 300개 이상의 조직을 공격한 것으로 알려져 있다. 파일 암호화 이후 “.PLAY” 확장자를 추가하는 것이 특징이며 최근까지도 활발하게 활동하고 있다. 다른 랜섬웨어 공격자들과 동일하게 시스템들을 암호화하기 전에 정보를 탈취하여 피해자를 협박하며 웹 사이트에서 공격당한 업체의 리스트들을 공개한다. Figure 1. 공개된 기업 […]
on Jan 2
From ahnlab.com
Analysis of Attack Cases Against Korean Solutions by the Andariel Group (SmallTiger) - ASEC
0 0
The Andariel group has been attacking various software used by South Korean companies since the past [1]. Notably, these include asset management solutions and data loss prevention (DLP) solutions, and vulnerability attack cases have also been identified in various other solutions. Attack...
on Dec 28
From ahnlab.com
Andariel 그룹의 국내 솔루션 대상 공격 사례 분석 (SmallTiger) - ASEC
0 0
Andariel 그룹은 과거부터 국내 기업들에서 사용하는 다양한 소프트웨어들을 공격해 왔다. [1] 대표적으로 자산 관리 솔루션, 정보 유출 방지 (DLP) 솔루션 등이 있으며 이외에도 다양한 솔루션들에 대한 취약점 공격 사례도 확인된다. 2024년 하반기에도 Andariel 그룹의 공격 사례는 지속되고 있으며 주로 SmallTiger를 설치하고 있다. [2] 악용 대상 소프트웨어로는 수년 전부터 악용 중인 국내 자산 관리 솔루션이 […]
on Dec 23
From ahnlab.com
cShell DDoS Bot Attack Case Targeting Linux SSH Server (screen and hping3) - ASEC
0 0
AhnLab SEcurity intelligence Center (ASEC) monitors attacks against poorly managed Linux servers using multiple honeypots. Among the prominent honeypots are SSH services using weak credential information, which are targeted by numerous DDoS and CoinMiner threat actors. ASEC recently identified...
on Dec 20
From ahnlab.com
2024년 11월 APT 공격 동향 보고서(국내) - ASEC
0 0
개요 안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2024년 11월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 그림 1. 2024년 11월 APT 국내 공격 통계 국내 유포가 확인된 APT 공격에 대해서는 침투 유형별로 분류하였으며 대부분 Spear […]
on Dec 9
From ahnlab.com
AhnLab EDR을 활용한 Proxy 도구 탐지 - ASEC
0 0
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다. 하지만 감염 시스템이 사설 네트워크 즉 […]
on Nov 29
From ahnlab.com
Proxy Tools Detected by AhnLab EDR - ASEC
0 0
After gaining control over infected systems, threat actors may also perform remote screen control using RDP. This is partly for convenience but can also serve the purpose of maintaining persistence. If the RDP service is not active during the attack process, threat actors may install RDP...
on Nov 29
From ahnlab.com
0 0
MSOffice 문서형 악성코드의 유포가 줄어들면서 LNK, CHM 등 다양한 포맷의 악성코드가 대두되고 있다. 올해 2분기에는 Microsoft Management Console(MMC)에서 사용하는 MSC(snap-ins/Management Saved Console) 파일 포맷의 악성코드가 새로 확인되었다. MSC 파일은 XML 기반의 포맷으로, 스크립트 코드 및 커맨드 명령 실행 또는 프로그램 실행 등 다양한 작업을 등록하여 실행할 수 있다. 자사에서 확인된 MSC 포맷의 악성코드는 apds.dll에 존재하는 […]
on Nov 28
From ahnlab.com
Warning Against Malware in SVG Format Distributed via Phishing Emails - ASEC
0 0
AhnLab SEcurity Intelligence Center (ASEC) has recently identified multiple instances of malware being distributed in Scalable Vector Graphics (SVG) format. An SVG file is an XML-based file format that represents scalable vector graphics. SVG files are primarily used for icons, charts, and...
on Nov 25
From ahnlab.com
2024년 10월 APT 그룹 동향 보고서 - ASEC
0 0
2024년 10월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다. 1) Andariel Symantec Threat Hunter 팀은 Andariel 그룹이 미국 내 기업들을 대상으로 금전적 동기를 가진공격을 수행하고 있다는 증거를 발견했다.[1] 이 그룹은 2024년 7월 미국 법무부의 기소 이후에도 공격을 이어가고 있으며, 8월에는 미국 기업 세 곳을 대상으로 […]
on Nov 12
From ahnlab.com
Linux Persistence Techniques Detected by AhnLab EDR (1) - ASEC
0 0
Persistence techniques refer to methods employed by threat actors to maintain a connection to the target system after infiltration. As a single breach may not be enough to achieve all their goals, threat actors look for ways to re-access the system. Persistence can be maintained by configuring...
on Nov 10