Http://54.180.27.29/cc/himart/api/kodbox-main/gr.png

국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 - ASEC BLOG 관련 IOC 9개 발견

ASEC에서는 국내 VPN 설치파일에 포함되어 유포되고 있는 SparkRAT 사례를 블로그에서 발표하였으며, 공격 흐름은 최초 유포 방식이 과거와 동일하게 VPN 업체의 웹 사이트를 공격하여 설치 파일을 악성코드로 변경한 것으로 보인다. 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용되고 추가적으로 원격 데스크탑 기능을 위해 MeshCentral의 MeshAgent를 설치하는 사례가 발견되었다.

ASEC는 국내 VPN 설치파일에 포함되어 유포되고 있는 SparkRAT 사례를 발표하였으며, 공격 흐름은 최초 유포 방식이 과거와 동일하게 VPN 업체의 웹 사이트를 공격하여 설치 파일을 악성코드로 변경한 것으로 보입니다. 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용되었고, 추가적으로 MeshCentral의 MeshAgent를 설치하는 사례가 발견되었습니다.

Ahnlab
Analysis of attack cases that lead from domestic VPN installation to meshagent infections -ASEC blog

The ASEC presented the SPARKRAT case, which was distributed and distributed in the domestic VPN installation file, on the blog, and the attack flow seems to have changed the installation file to a malware by attacking the VPN company’s website as in the past.Instead of the Packer developed on the.NET, droofer malware developed in the GO language was used, and there were also cases of installing Meshcentral’s meshagent for remote desktop function.

ASEC has published a SPARKRAT case contained in the domestic VPN installation file, and the attack flow seems to have changed the installation file to a malicious code by attacking the VPN company’s website as in the past.Instead of Packers developed by .NET, droofer malware developed in the GO language was used, and additional cases were found to install Meshcenter’s meshgent.
https://asec.ahnlab.com/ko/53053/