본문 바로가기
'CES 참관단 참가신청서' 내용의 악성 HWP 유포 오늘 안랩 ASEC 분석팀에 '『 미국 라스베가스 CES 2020 참관단』 참가신청서' 내용의 새로운 악성 HWP 한글 문서가 접수되었다. 이번 악성 파일은 한국정보산업연합회에서 최근 온라인에 공지한 CES 참가신청서 문서를 악용하였다. 정상적인 한글 문서에 취약점이 있는 악성 포스트스크립트 이미지를 삽입하여, 악성코드가 실행되도록 하였다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: CES2020 참관단.hwp (추정) MD5: f865ea5f29bac6fe7f1d976a36c79713 SHA256: d4f055d170fd783ae4f010df64cfd18d8fa9a971378298eb6e863c60f57b93e3 주요 행위 프로세스에 악성코드 인젝션 악성 포스트스크립트 파일은 CVE-201.. 2019.10.24
송장 메일로 유포되는 엑셀 문서 주의 (2) 10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월.. asec.ahnlab.com 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유.. 2019.10.22
‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월 급여명세서”와 "XX견적서" 이다. 해당 스팸 메일은 "QF001_1093_101819.xls", “P001_102019_4472.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일을 첨부하거나 OneDive 로 위장한 피싱 페이지를 통해 다운로드 받도록 한다. 메일 발송자는 “김선아”이며, 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 엑셀 문서를 실행하면 다음과 같은 화면을 볼 수 있으며, 사용자의 매크로 사용 허용을 유도한다. 만약 매크로 사용을 허용한다면, 내부.. 2019.10.18
Kimsuky 조직 악성 HWP 한글 문서 유포 10월 16일 어제 안랩 ASEC 분석팀에 새로운 악성 HWP 한글 문서가 접수되었다. 확인 결과 Kimsuky 조직 유형으로 판단된다. 악성 한글 문서는 한반도의 대북 정책 관련 한미/한중 외교에 관한 질문 내용이다. 공격 대상은 정확히 확인되지 않았지만, 관련 전문가 또는 참가자를 대상으로 했을 것으로 보인다. 공격자는 CVE-2017-8291 고스트스크립트 취약점을 이용한 악성 EPS 이미지 포맷 파일을 문서에 삽입(아래 박스로 표기한 부분)하여 악성 기능을 실행하였다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp (추정) MD5: 42ae424f27d83fa132b2967b64f6ba21 SHA256: d94f26158dc3fd.. 2019.10.17
[주의] 문서 형태로 유포되는 이모텟(Emotet) 악성코드 안랩 ASEC 분석팀은 국내 사용자를 대상으로 악성 VBA 매크로를 포함하고 있는 Word 파일이 유포되고 있음을 확인하였다. 해당 악성 VBA 매크로는 WMI를 통해 powershell을 실행하여 Emotet 악성코드를 다운로드하게 된다. Word 파일을 실행하게 되면 [그림 1]과 같이 VBA 매크로를 실행하도록 유도하는 문구의 그림이 존재한다. 유도 문구는 [그림 2]와 같이 다양한 형태로 유포되고 있다. 현재 유포되고 있는 VBA 매크로는 [그림 3]과 같이 쓰레기 코드 및 주석을 이용하여 난독화되어 있으며, [그림 4]는 난독화가 해제된 VBA 매크로이다. 코드를 분석한 결과, 지난해 11월 Emotet 악성코드를 유포하던 VBA 매크로는 cmd를 통해 powershell을 실행한 반면 현재 유.. 2019.10.11
Operation Moneyholic With HWP Document 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수.. 2019.09.19
류크(Ryuk)와 닮은 악성코드에 포함된 AhnLab 문자열의 의미!! (특정 국가 타겟??) 안랩 ASEC 분석팀은 최근 “AhnLab” 문자열을 포함하는 정보 유출 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드에는 기존 Ryuk 랜섬웨어와 동일한 문자열이 사용되고, 내부 코드 흐름이 유사하여 Ryuk 랜섬웨어와 관련이 있는 것으로 파악된다. 또한 해당 샘플 분석 결과, 특정 국가를 타겟으로 제작된 악성코드로 추정되는 여러 근거가 발견되었다. 지난해 8월에 발견된 Ryuk 랜섬웨어는 파일의 확장자를 “.RYK”로 변경하고 “RyukReadMe.txt” 이름의 랜섬노트를 생성하며 AhnLab폴더를 암호화 대상에서 제외한다. 본 정보 유출 악성코드 또한 파일명 및 폴더명에 AhnLab 문자열이 존재하면 유출 대상에서 제외한다. 악성코드 실행 시 인자로 주어진 문자열 경로의 파일을 삭제한다. .. 2019.09.18
파일리스 형태로 동작하는 WannaMine(SMB 취약점) 최근 들어 코인 마이너의 전파 방식이 점점 다양해지고 있다. 안랩 ASEC 분석팀은 올해 초에 SMB 취약점(MS17-010 이터널블루)을 이용해 전파하는 코인 마이너에 대해 소개한 바 있다. ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) 안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.. asec.ahnlab.com 근래에는 “WannaMine”이라는 파일리스(Fileless) 코인 마이너 악성코드가 전파를 위해 SMB 취약점뿐만 아니라 WMI(Windows Manage.. 2019.09.06