본문 바로가기
Nemty Special Edition 버전 유포중 (복원가능) ASEC 분석팀은 5월18일 Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, ‘이력서’ 문구 외 '이미지 무단 사용' 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다. [유포 파일명] \성지영\이력서\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \이재희\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \김용우\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe \한영철\이력서\지원서_200518(뽑.. 2020. 5. 20.
코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중 지난 5월 8일 해당 블로그에 게시 한 것과 같이 메일을 통해 국내 게임업체 인증서를 도용한 악성코드가 유포 중임을 공유하였다. 자사 ASEC에서는 해당 류의 악성코드가 조금 변형 된 형태로 여전히 다양한 제목으로 유포 중임을 확인하여 이에 대해 추가 내용을 알리고자 한다. 지난 블로그 : https://asec.ahnlab.com/1318 국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포 ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한�� asec.ahnlab.com 위 지난 블로그에서 처럼 해당 악성코드는 문서 내용을 그대로 코인업체 입력모집 양식의 표를.. 2020. 5. 14.
코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. https://asec.ahnlab.com/1276 동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로�� asec.ahnlab.com 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. .. 2020. 5. 11.
국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포 ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한다. https://asec.ahnlab.com/1308 [주의] 상여금 발급 청구서로 위장한 워드 문서파일 ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠 사용을 유도하기 위해 Office 이미지 또는 Invoice (�� asec.ahnlab.com 이번에 확인된 문서는 메일을 통해 유포된 이력이 확인되었다. 아래 메일 캡처와 같이 보낸사람 주소를 특정 언론사 메일 주소로 사칭한 것으로 보인다. 마지막에 최종적으로 실행 되는 .. 2020. 5. 8.
Lazarus 그룹의 방위산업체 대상 공격 증가 Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx - 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx - 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx - 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악.. 2020. 5. 8.
[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포 ASEC 분석팀은 5월 6일 이력서와 공정거래위원회를 사칭한 악성코드가 다수 유포됨을 확인하였다. 해당 악성코드는 첨부파일 형태로 유포되는 악성코드이며 하나의 압축파일에 파일명은 유사하지만, 성격이 다른 악성코드들이 포함되어 함께 유포되었다. 유포된 첨부 파일 중 “이력서.zip” 파일의 경우 내부에 2개의 실행 파일이 존재하였다. 먼저 아래 [그림 3]의 좌측 한글 문서(.hwp) 아이콘 실행 파일은 Nemty 랜섬웨어이고, 우측 PDF 문서 (.pdf) 아이콘 실행 파일은 "Vidar"이라고 알려진 정보 유출형 악성코드이다. 사용자 파일을 암호화하는 Nemty 랜섬웨어와 달리 “Vidar” 정보 유출형 악성코드는 로컬 시스템의 인터넷 브라우저, FTP, 메신저 계정정보와 더불어 시스템에 저장된 암호화.. 2020. 5. 6.
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을 모두 < > 안으로 표현되는 Hex.. 2020. 4. 28.
[주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해.. 2020. 4. 13.