비정상적 인증서를 가진 정보탈취 악성코드 유포 중 - ASEC BLOG 관련 IOC 60개 발견
최근 비정상적인 인증서를 사용하는 악성코드가 다수 유포되고 있으며, 이는 무작위로 입력된 인증서 정보로 Subject Name 항목과 Issuer Name 항목의 비정상적인 문자열 길이를 가지고 있어 윈도우 운영체제 상에서는 인증서 정보가 보이지 않고, 특정 툴 혹은 인프라를 통해 구조를 확인할 수 있다. 이 악성코드는 LummaC2, RecordBreaker 두 종류로 기본적으로 정보탈취의 성격을 가지고 있으며, 서명 문자열을 디코딩하면 아랍어, 일본어 등 비영문 언어와 특수문자, 문장부호 등을 사용하는 스크립트가 나오게 된다.
최근 비정상적인 인증서를 사용하는 악성코드가 다수 유포되고 있으며, 이는 무작위로 입력된 인증서 정보로 Subject Name 항목과 Issuer Name 항목의 비정상적인 문자열 길이를 가지고 있어 윈도우 운영체제 상에서는 인증서 정보가 보이지 않고, 특정 툴 혹은 인프라를 통해 구조를 확인할 수 있다. 이 악성코드는 LummaC2, RecordBreaker 두 종류로 기본적으로 정보탈취의 성격을 가지고 있으며, 서명 문자열을 디코딩하
Ahnlab
Information to deuse malware with abnormal certificates -ASEC blog
Recently, a number of malware that uses abnormal certificates has been distributed, which is randomly input certificate information, which has an abnormal string length of Subject Name and ISSUER NAME items, so there is no certificate information on the Windows operating system, and certain tools or infrastructure.You can check the structure through.This malware is two types of Lummac2 and Recordbreaker, and basically has the nature of deodorizing information.
Recently, a number of malware that uses abnormal certificates has been distributed, which is randomly input certificate information, which has an abnormal string length of Subject Name and ISSUER NAME items, so there is no certificate information on the Windows operating system, and certain tools or infrastructure.You can check the structure through.This malware is Lummac2, Recordbreaker, and is basically a personality of information deodorization.
https://asec.ahnlab.com/ko/57276/