본문 바로가기
랜섬노트가 변경 된 BlueCrab 랜섬웨어 EXE (2020.03.11) ASEC분석팀은 작년부터 활발히 유포 중인 Bluecrab(=Sodinokibi) 랜섬웨어 실행파일(EXE)이 3월 11일 부터 랜섬노트가 변경되어 유포되고 있음을 확인하였다. 확인 된 유포방식은 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되었다. 그러나 이력서와 같은 방식으로 유포 될 가능성도 있으므로 사용자의 주의가 요구된다. 특정 파일, 폴더를 제외 하고 감염하는 것과 특정 프로세스가 존재하면 종료하는 행위, 특정 서비스 비활성화, 파워쉘을 이용해 볼륨섀도우카피를 삭제하는 방법까지 모두 과거 BlueCrab 과 동일하다. [감염 제외 폴더] "program files" "boot" "msocache" "appdata" "program files (x86)" "perflo.. 2020. 3. 19.
이력서로 위장해 유포중인 NEMTY v2.6 발견(2020.03.17) ASEC 분석팀은 3월 17일 이력서로 위장한 NEMTY 랜섬웨어가 버전 2.6으로 업데이트 되어 유포 됨을 확인하였다. 2020년 1월 부터 3월까지 확인된 NEMTY 랜섬웨어의 버전은 2.5였다. 과거와 현재 모두 실제 이력서를 지원하는것 처럼 위장해 메일을 보내기 때문에 기업의 인사 담당자들이 특히 감염되기 쉬워 각별한 주의가 필요하다. 현재까지 확인된 유포에 사용된 파일명들은 다음과 같다. 포트폴리오(200317)_뽑아주시면 열심히하겠습니다.exe 입사지원서(200317)_뽑아주시면 열심히하겠습니다.exe 실제 유포에 사용된 이메일의 내용은 다음과 같다. 뮤텍스(Mutex) 이름을 제외하고는 기존에 유포되었던 NEMTY 2.5와 동일한 기능을 가진다. 해당 랜섬웨어 행위관련 상세한 내용은 아래 블.. 2020. 3. 18.
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17.
악성 매크로 코드를 '좀 더' 숨긴 엑셀 파일 유포 - very hidden 새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 - invoice_805274.xls 생성일 - 2020-03-09 15:30:32 MD5 - a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된 파일은 매크로 시트를 숨기기(Hide) 함.. 2020. 3. 11.
신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5.
견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용) ASEC 분석팀은 오늘(3월 4일) 견적서로 위장한 정보 탈취 형(키보드 입력값 유출) 악성코드가 유포 중임을 확인하였다. 2차 악성파일 다운로드 주소가 일반인들이 정상적으로 많이 사용하는 구글 드라이브(https://drive.google.com)를 이용한 점도 정상적인 행위로 위장하기 위한 것으로 추정된다. 해당 악성코드는 자사에서 이전에 공개하였던 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 아래의 악성코드와 동일한 유형으로 확인되었다. [주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 - 2020. 2. 27 https://asec.ahnlab.com/1290 아래 [그림1, 2]과 같이 메일 내부에 정상적인 견적서 이미지(img)파일이 첨부되어있으며 해당.. 2020. 3. 4.
마이킹즈(MyKings) 봇넷 동향 마이킹즈 봇넷은 다크클라우드(DarkCloud), 히든(Hidden), 스모민루(Smominru) 등으로도 불리는 봇넷으로, 2014년 8월 관련 악성코드가 처음 발견되었다. 국내에서는 2015년 5월 처음 확인됐다. 이후 꾸준히, 그러나 조용하게 활동해온 이 봇넷은 2018년 중반 이후 활발한 움직임을 보였다. 안랩에서도 2016년 11월 국내 기업의 디지털 인증서로 서명된 악성코드를 분석하던 중 마이킹즈 봇넷과 연관된 정황을 확인한 바 있다. 이후 2018년 중반부터 국내 대학, 협회, 방송, 제조, 금속, 솔루션 서비스, 웹호스팅 등 다양한 산업 분야에서 채굴 악성코드(Coin Miner, 코인마이너) 재감염, 백신 프로그램 장애, 부트킷 악성코드 등 다른 듯 유사한 사례가 지속적으로 확인됐다. 별.. 2020. 3. 4.
3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3.