국내 IT 기업을 사칭하여 유포되는 VenomRAT(AsyncRAT) Posted By yeeun , 2024년 1월 18일 AhnLab SEcurity intelligence Center(ASEC)은 AsyncRAT(VenomRAT)을 다운로드하는 바로 가기 파일(.lnk)을 확인하였다. LNK 파일은 정상 워드 문서로 위장하기 위해 ‘설문조사.docx.lnk’ 파일명으로 정상 텍스트 문서와 함께 압축 파일로 유포되었다. 무엇보다 공격 과정에서 사용된 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 각별한 주의가 필요하다. 악성코드의 전반적인 동작 과정은 다음과 같다. 압축 파일은 사용자의 열람을 유도하기 위해 ‘설문조사’로 위장하였으며 압축 파일 내부에는 텍스트 문서와 악성 LNK 파일이 포함되어 있다. 텍스트 문서 내부에는 악성 LNK 파일의 실행을 유도하는 문구가 작성되어 있다. LNK 파일에는 악성 명령어가…
Autoit을 사용한 Zephyr 코인 마이너 악성코드 유포 Posted By ov5925 , 2024년 1월 18일 AhnLab SEcurity intelligence Center(ASEC) 은 최근 Zephyr 코인 마이너가 유포되는 것을 확인했다. 해당 파일은 Autoit으로 제작되어있으며, 코인마이너가 포함된 압축파일 형태로 유포되고 있다. 유포되는 파일은 “WINDOWS_PY_M3U_EXPLOIT_2024.7z” 이름으로 유포되고 있으며, 압축 해제 시 여러 스크립트와 실행파일이 생성된다. 그 중 “ComboIptvExploit.exe” 파일은 NSIS(Nullsoft Scriptable Install System) 설치파일이며 내부에는 두 개의 자바스크립트 파일이 존재한다. 해당 파일을 실행하면 %temp% 경로에 “Explorer.js” , “internet.js” 파일을 생성하고, 두 자바스크립트 파일은 wscript.exe를 통해 실행된다. 두 자바스크립트 파일 중 “internet.js” 파일은 내부에 BASE64 인코딩된 문자열을 디코딩하여 실행파일을 생성한다. 이…
Lazarus 그룹 DLL-Side Loading 기법 이용 (2) Posted By leeikgyu , 2024년 1월 17일 AhnLab SEcurity intelligence Center(ASEC)은 “Lazarus 그룹 DLL-Side Loading 기법 이용”[1] 블로그를 통해 Lazarus 공격 그룹이 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법을 사용하는 방식들을 다루었다. 여기에서는 추가된 변종 DLL들과 감염 대상 검증 루틴을 다룬다. Lazarus 그룹은 국내 기업, 기관, 싱크탱크와 같은 분야에 공격을 수행하는 APT 그룹이다. 지난 2024.01.12 ASD(AhnLab Smart Defense) 인프라를 통해 Lazarus 그룹이 악성코드를 실행할 때 주로 사용하는 기법인 DLL-Side Loading(T1574.002 Hijack Execution Flow: DLL Side-Loading)의 새로운 정상 프로그램이…
우크라이나 정부 및 기업을 대상으로 유포되는 SmokeLoader Posted By gygy0101 , 2024년 1월 16일 AhnLab SEcurity intelligence Center(ASEC) 은 우크라이나 정부 및 기업을 대상으로 SmokeLoader 악성코드가 다수 유포 중인 것을 확인하였으며, 최근 우크라이나를 대상으로 한 공격이 증가한 것으로 보여진다. 현재까지 확인된 유포 대상에는 우크라이나의 법무부, 공공기관, 보험, 의료, 건축, 제조 기업이 존재하였다. 유포된 메일은 [그림 1] 과 동일한 형태로, 메일 내용은 우크라이나어로 작성되어 있다. 본문에는 송장 관련 문구가 포함되어 있으며, 첨부된 파일을 실행하도록 유도한다. 첨부된 파일은 압축 파일(7z)로 내부에 또 다른 압축 파일(ZIP)이 존재한다. 해당 압축 파일 내에는 SFX 형태의 EXE 파일과 PDF 확장자로…
이력서를 사칭한 워드 문서로 유포되는 LockBit 랜섬웨어 Posted By yeeun , 2024년 1월 15일 AhnLab SEcurity intelligence Center(ASEC)은 지난 달부터 워드 문서를 통해 LockBit 랜섬웨어가 유포되고 있음을 확인하였다. LockBit 랜섬웨어는 주로 이력서를 사칭하여 유포되는 것이 특징이며, 이번에 확인된 악성 워드 문서 역시 이력서를 사칭하였다.[1] 또한, 워드 문서의 External URL 링크를 활용하는 LockBit 랜섬웨어를 유포 방식은 2022년 최초 확인되었다.[2] 최근 확인된 악성 워드 문서의 파일명은 다음과 같다. 파일명 [[[231227_양**]]].docx 231227_이**.docx 231227유**.docx 김**.docx 선우**.docx 꼼꼼한 일처리! 커뮤니케이션의 일인자!1.docx 밝은 미소와 친절한 태도를 갖춘 인재.docx 적극적인 자세로 업무에 임하겠습니다.docx 워드 문서 내부 \word\_rels\settings.xml.rels 파일에는 External Link가 포함되어…
