sim

침해 동향 이전 보고서

Home Previous
뷰어로 보기
2019.07.27 10:39

[2018.03.29] 파밍 서버 샘플 추가발견, 위장 사이트 파밍 악성코드 유포

관리자 https://poisoneye.info/ex_reports/318
조회 수 474 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

파밍으로 이용되던 서버가 생명보험 사이트로 위장하여 파밍악성코드를 유포하는 것으로 최근 발견되었습니다.

본 사진과 같이 설치하기 버튼을 누를 시, ahnlab.exe 파일이 다운로드 되면서 아래와 같은 행위를 합니다.

2CD4AF889C87D9AD2C3C61BEFAD1A4DAA02216DCD8ED06A303868F1D83975227
하위 생성 : DF290E89032E6033043FFDF7C851986E95D275413F30DBDE0CC86F436FAA496F

네트워크 접근
191.XXX.175.217/ca.php?m=XXXXXXXX
gms.ahnlab.com

DNS 정보 변경, PAC 스크립트 작성, 로컬 프록시 생성

해당 페이지는 현재 접근이 불가하나, 파밍의 유포방식이 바뀔 수 있음을 주의드립니다.

 

29542508_1863182710358711_5587580632573756153_n.png

 

위로 아래로 댓글로 가기 인쇄 첨부
에디터 선택하기
?

  1. [2019.01.21] 파밍 악성코드 활동 주의

    금일 2019-01-21 오후 3시 2분경 파밍 C&C의 서버주소가 변경되는 것을 포착하였습니다. 해당 서버내 파밍감염이력은 작년 9월을 마지막으로 기록되었으며 이후의 기록은 발견되지 않았습니다. 해당 서버변경 이전의 C&C(45.***.***.195)에서 CKvipEK...
    By관리자 Views256
    Read More

  2. [2019.01.11] CK Exploit Kit, CVE-2018-8373 취약점 탑재 주의

    CK Exploit Kit 취약점 추가 안내 전일 무료영화 피싱 사이트로 위장하여 아이프레임을 통해 CKvipEK 공격으로 RAT 형식의 악성코드가 Drive-By-Download되는 정황을 포착했습니다. 해당 자동화 공격에 새롭게 추가된 CVE-2018-8373이 자동화 공격 index페이지...
    By관리자 Views72
    Read More
  3. No Image

    [2018.12.22] CVE-2018-8653 스크립팅 엔진취약점 주의

    인터넷 익스플로러의 신규취약점인 CVE-2018-8653 스크립팅 엔진취약점이 발표되었습니다. 해당 취약점은 웹페이지, PDF 파일 또는 오피스 문서에서 발생할 수 있는 취약점이고, 메모리 변경 문제를 일으켜 악성코드를 실행할 수 있는 취약점입니다. 해당 취약...
    By관리자 Views126
    Read More

  4. [2018.07.29] 윈도우 업데이트 위장 페이지 주의

    최근 윈도우 업데이트 관련한 홈페이지를 위장한 피싱페이지가 C2 내 샘플 파일로 발견되었습니다. 해당 페이지에서는 윈도우 엣지 브라우저 사용 권장을 하며 윈도우 10으로 업데이트하도록 유도합니다. 해당 페이지에서 특정 링크로 접근하면 엣지 브라우저 ...
    By관리자 Views683
    Read More

  5. [2018.07.11] CK Exploit Kit 취약점 변경, CVE-2018-8174 탑재 유포 주의

    금일 약 4시간 전 파일 공유사이트에서 KAIXIN Exploit Kit으로 확인되는 악성 페이지가 확인되었습니다. 해당 유포지는 아직까지 경유지가 지워지지 않은 상태이며, 경유지는 현재 처리된 것으로 확인되고 있습니다. 해당 페이지에서, 아래 페이로드가 확인되...
    By관리자 Views66
    Read More

  6. [2018.06.03] CVE-2018-8174, 더블킬 익스플로잇 유포 확인

    최근 CVE-2018-8174인 더블킬 익스플로잇 유포가 확인되어 주의가 요구됩니다.
    By관리자 Views64
    Read More
  7. No Image

    [2018.05.31] CVE-2018-8174, CVE-2018-8120 취약점 주의

    최근 CVE-2018-8174와 CVE-2018-8120 취약점이 발견되어 웹사이트 위협공격이 진행될 것으로 우려됩니다. 해당 취약점은 더블 킬 익스플로잇 이라 하여 리그킷과 쓰레드킷에서 발견되었으며 윈도우 7이상 운영체제에 영향을 끼치고 있으며, 인터넷 익스플로러...
    By관리자 Views34
    Read More

  8. [2018.03.29] 파밍 서버 샘플 추가발견, 위장 사이트 파밍 악성코드 유포

    파밍으로 이용되던 서버가 생명보험 사이트로 위장하여 파밍악성코드를 유포하는 것으로 최근 발견되었습니다. 본 사진과 같이 설치하기 버튼을 누를 시, ahnlab.exe 파일이 다운로드 되면서 아래와 같은 행위를 합니다. 2CD4AF889C87D9AD2C3C61BEFAD1A4DAA022...
    By관리자 Views474
    Read More

  9. [2018.02.23] CVE-2017-0199 유포 주의

    최근 CVE-2017-0199를 이용한 악성코드 유포가 진행중으로 확인되어 주의가 요구됩니다.
    By관리자 Views37
    Read More

  10. [2017.10.20] 파밍 악성코드 변화 주의

    NetSH사용과 PAC 스크립트 변경 사항이 발견되었습니다.
    By관리자 Views14
    Read More

  11. [2017.10.18] 웹하드 사이트 파밍 악성코드 유포

    2017-10-17 기준 유명 파일공유사이트에서 파밍악성코드가 유출된 정황이 포착되었습니다. 기존 파밍은 C&C서버의 내용을 받아오는 페이지가 국내 아이피는 접근이 되지 않았는데, 이번 파밍은 DNS변조를 이용하여 C&C정보를 받은 후 감염활동을 하는 ...
    By관리자 Views32
    Read More

  12. [2017.10.10] 유명 백신 K사 계열 웹사이트 네이버 피싱 유포 주의

    유명 백신사 스토어가 네이버계정탈취 경유지로 이용된 정확이 포착되었습니다.
    By관리자 Views155
    Read More

  13. [2017.09.14] 스페이스 탭 공격 방식 분석 자료

    이전부터 웹하드 및 포털 사이트 대상으로 리퍼러 체크기법과 함께 공격한 코드인 스페이스탭에 대한 분석 입니다.
    By관리자 Views42
    Read More
  14. No Image

    [2017.09.11] JJ인코딩을 이용한 유포 주의

    최근 경유지에 사용된 난독화(JJ DECODE)가 새롭게 발견되어 주의가 요구됩니다 !
    By관리자 Views642
    Read More
  15. No Image

    [2017.08.14] 네이버 피싱페이지 변화 주의

    최근 네이버 계정탈취가 기승한 뒤, 한산한 모습을 보이는 가운데 전혀 다른 형태의 네이버 피싱페이지가 발견되었습니다. 해당 페이지는 기존 유포방식과 다르게 직접 글을 올린 후, 피싱페이지로 유도하는 모습을 보이고 있습니다. 또한, 피싱 페이지에서 로...
    By관리자 Views309
    Read More
  16. No Image

    [2017.08.14] 경유지 재사용, 추가 유포 주의

    이전 여성 쇼핑몰 및 언론사 사이트에서 발견된 경유지가 12일만에 다시한번 공격한 정황이 포착되었습니다. 해당 공격은 파밍 악성코드를 유포하기 위한 CKvipEK 공격을 했으며, 이전 유포지 외 5군데에 추가적으로 유포한 것으로 조사되었습니다. 아래는 최...
    By관리자 Views16
    Read More

  17. [2017.08.11] 비정상 링크 알림

    이전, 여성 쇼핑몰과 유명 언론사페이지에 공격전, 사전준비로 404 not found헤더를 띄운 비정상링크를 삽입한적이 있는데, 이번에도 특정 스포츠 클럽사이트에서 404 페이지를 띄우는 비정상링크를 탐지했습니다.
    By관리자 Views19
    Read More

  18. [2017.08.03] 파밍 사이트 카테고리별 정리 안내

    파밍 감염시 특정 사이트 접속시 피싱 사이트로 연결되어 플로팅 배너를 띄우는 사이트들을 카테고리별로 정리해보았습니다. 파밍의 종류에따라 다를 수 있으니, 참고 바랍니다.
    By관리자 Views15
    Read More
  19. No Image

    [2017.08.02] 소규모 멀웨어넷 형성 주의

    최근 날씨 서비스, 언론사, 구인구직 사이트에서 유포되어 소규모 멀웨어를 형성했습니다. 해당 악성링크는 23일 02시에 사전 준비후 공격하는 모습을 보였습니다.
    By관리자 Views71
    Read More
  20. No Image

    [2017.07.27] 네이버 피싱 소규모 유포 알림

    네이버 계정탈취가 소규모 피싱으로 유포된것을 확인했습니다. 피싱은 모두 같은 경유지로, 네이버 계정탈취로 연결되는 쇼핑몰들로 확인되었으며, 총 14곳의 유포지가 확인되고 있습니다. 해당 쇼핑몰의 솔루션 확인결과 같은 솔루션을 사용중이며, 솔루션 취...
    By관리자 Views22
    Read More
쓰기
Board Pagination Prev 1 ... 2 Next
/ 2
All copyright by poisoneye