Security

중국어 사용 공격자, 국내 서버 공격

ChiefEditor

ChiefEditor

중국어 사용 공격자, 국내 서버 공격
[이미지: 안랩]

최근 국내 웹 서버를 노린 사이버 공격이 포착됐다. 공격자는 네트워크 장악 시도를 위해 악성코드로 시스템을 감염시켰다. 네크워크가 장악될 경우 민감한 정보 탈취나 랜섬웨어에 감염될 수 있어 이용자들의 철저한 보안 점검이 필요하다.

공격자는 웹쉘 악성코드를 설치하고, 라돈(Ladon) 도구를 악용, 수퍼쉘(SuperShell)과 메쉬에이전트(MeshAgent)를 설치해 감염 시스템을 제어했다.

라돈은 중국어 사용 공격자가 주로 이용하는 공격 도구다. 주로 공격자가 권한상승 과정에서 활용된다.

수퍼쉘은 Go 언어로 개발되어 윈도우와 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 실질적인 기능은 리버스 쉘이며 공격자는 이를 이용해 감염 시스템을 원격에서 제어할 수 있다. 수퍼쉘은 관리가 미흡한 리눅스 서버 공격에 악용됐으며, UNC5174와 같은 APT 공격자가 사용한 바 있다.  

메쉬에이전트는 원격 관리에 필요한 시스템 기본 정보 수집, 전원 및 계정 제어, 채팅이나 메시지 팝업, 파일 업로드·다운로드, 명령 실행 기능을 제공한다. 이외에도 원격 데스크톱을 지원한다.

이처럼 공격자는 악성코드 설치·이용해 감염 시스템 정보 수집, 감염 시스템과 네트워크 스캐닝 단계를 거쳐 관리자 계정 정보를 획득, 조직의 다른 시스템으로 측면 이동하며, 시스템 장악을 위해 국내 서버를 공격했다. 공격자는 이외에도 MS-SQL 서버 또한 공격 대상이 됐으며, 측면 이동 공격이 확인됐다.

안랩은 "공격자는 윈도우뿐만 아니라 리눅스도 공격하는 것으로 추정되고 있다"며 이러한 공격에 주의를 당부했다.

Read more

퍼플렉시티 기반 코멧 브라우저, 알고 보면 악성 내부자?

퍼플렉시티 기반 코멧 브라우저, 알고 보면 악성 내부자?

💡Editor's Pick - 에이젠틱 인공지능 브라우저 코멧, 민감 데이터에 자동 접근 - 프롬프트 주입 공격과 같은 듯 달라...더 교묘하고 권한 높아 - 인공지능 사용에 있어 보안 정책 강화되어야 유명 인공지능 모델인 퍼플렉시티(Perplexity)를 겨냥한 새로운 공격 기법이 발견됐다. 정확히는 퍼플렉시티의 에이젠틱 인공지능 브라우저(agentic AI browser)

By 문가용 기자
파이선 리포지터리 PyPI에서 고급 악성 패키지 발견돼

파이선 리포지터리 PyPI에서 고급 악성 패키지 발견돼

💡Editor's Pick - soopsocks라는 악성 패키지, 2600번 다운로드 돼 - SOCKS5 프록시 생성 후 여러 악성행위 실시 - 공공 리포지터리의 안전한 활용 위한 대책 도입 시급 파이선 생태계의 코드 리포지터리인 PyPI에서 악성코드가 유포되고 있다는 사실이 발견됐다. 이번 악성 패키지는 일종의 백도어 기능을 가지고 있다고 한다. SOCKS5 프록시 서비스를

By 문가용 기자
오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

💡Editor's Pick - 대기업 자산 관리 솔루션 노리는 공격 - 데이터 훔쳤다는 협박 메일로부터 공격 시작 - 배후에 클롭 랜섬웨어 있을 가능성 높아 보여 구글의 보안 자회사 맨디언트(Mandiant)가 최근 새로운 악성 캠페인을 발견해 세상에 공개했다. 배후 세력으로 가장 유력한 건 악명 높은 랜섬웨어 단체인 클롭(Cl0p)

By 문가용 기자
한국서도 사용되는 마일사이트 라우터, 해킹 공격에 노출돼

한국서도 사용되는 마일사이트 라우터, 해킹 공격에 노출돼

💡Editor's Pick - 산업용 셀루러 라우터의 API, 인터넷에 노출돼 - 심지어 문자 메시지 열람과 확인까지 가능한 API - 너무 많은 권한을 주는 게 많은 보안 사고의 원인 산업용 셀룰러 라우터를 감염시키는 악성 캠페인이 발견됐다. 배후 세력은 자신들이 점거한 라우터들을 통해 악성 문자 메시지를 발송하고 있다고 한다. 단순 장난

By 문가용 기자