본문 바로가기

악성코드 정보1121

국가기관(@knps.or.kr) 대상으로 피싱메일 유포 중 ASEC 분석팀은 지난 주 공직자를 타겟으로 한 피싱 메일이 국내에 유포 중임을 공개하였는데 금일에는 국립공원공단을 대상으로한 피싱 메일을 확인하였다. 메일에는 아래 [그림1]과 같이 시스템 점검을 위해 이메일 버전 업그레이드를 하도록 유도하록하는 내용이 포함되어있다. 공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중 ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨� asec.ahnlab.com 위 메일을 열람 후 피싱 메일인지 인지 못한 사용자가 '새로운 서버 버전'을 확인하기 위해 해당 버튼을 클릭하면 로그인을 유도하는 피싱 페이지를 확인 할 수 있다. .. 2020. 7. 7.
ASEC 주간 악성코드 통계 ( 20200629 ~ 20200705 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 29일 월요일부터 2020년 7월 5일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 57.4%로 1위를 차지하였으며, 그 다음으로는 Coin Miner 악성코드가 14.9%, RAT (Remote Administration Tool) 및 Banking 악성코드가 9.2%를 차지하였다. 랜섬웨어와 다운로더 악성코드는 4.6%, 4.3%로 그 뒤를 따랐다. Top 1 - AgentTesla 24.5%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러.. 2020. 7. 7.
Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행) 지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다. ※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는 문서 포맷이다. 아래 [그림 2]는 악성 문서파일 실행 시 자사의 엔드포인트 위협 탐지 & 대응 솔루션인 EDR(Endpoint Detection & Response)을 통해.. 2020. 7. 7.
견적, 구매 메일로 위장해 유포되는 Formbook 악성코드 Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. ASEC 주간 악성코드 통계 ( 20200622 ~ 20200628 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 22일 월요일부터 2020년 6월 28일 일요일까지 수집된 한 주 asec.ahnlab.com ASEC .. 2020. 7. 6.
'북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 ASEC 분석팀은 최근 '북한의 회색지대 전략과 대응방안' 내용의 한글 문서 파일이 유포 중인 것을 확인하였다. 한글문서는 2019년 10월 21일에 작성되었으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정된다. 마지막으로 해당 문서를 저장한 사람은 Venus.H로 확인되었다. 아래의 그림은 EPS 취약점 스크립트를 포함한 악성 한글문서의 본문 내용을 나타낸다. 해당 한글문서에 대한 문서 정보는 아래와 같다. 위의 한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. EPS 파일은 gbb.exe에 의해 실행되며, 취약점에 의해 EPS 내부의 셸.. 2020. 7. 3.
공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중 ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL "hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]"이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다. .. 2020. 7. 2.
국내 포털 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다. 리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다. 해당 사이트는 사용자의 계정 정보를 탈취하는.. 2020. 7. 1.
법원판결 내용의 악성 엑셀(XLS) 파일 유포: 코니(KONNI) 조직 안랩 ASEC은 악의적인 매크로를 포함하여 사용자 정보를 유출하는 엑셀 파일을 수집하였다. 해당 엑셀 문서는 사용자에게 매크로를 사용하도록 유도하고, 매크로를 실행시키면 '방문판매법위반 방조로 벌금을 내라'는 법원 판결이 관련된 내용을 포함한 엑셀 문서를 다시 실행시켜 사용자가 감염 사실을 인지하기 어렵게 한다. 악성코드 동작방식이 코니 (KONNI) 조직으로 알려진 APT 공격그룹에서 사용한 것과 유사한 특징을 갖는다. [파일 정보] ● 파일 타입: 엑셀 문서 ● MD5: 4af8906f903f5de0ea98d3e323ee869c ● SHA256: 83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56 두 번째 엑셀의 매크로까지 실행될 경우 .. 2020. 7. 1.