디스코드 Nitro 코드 생성기를 위장하여 유포 중인 PYbot DDoS 악성코드

공격자들이 악성코드를 유포하는 방식들 중에는 대표적으로 크랙과 같은 불법 소프트웨어를 위장한 사이트를 이용하는 방식이 있다. 공격자가 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장하여 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다. ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을 모니터링하고 있다. 이러한 방식으로 유포되는 악성코드들로는 Vidar, CryptBot, RedLine과 같은 인포스틸러 유형들이 많다. ASEC 분석팀은 최근 PYbot DDoS 악성코드가 불법 소프트웨어와 함께 유포되고 있는 것을 확인하였다. 공격자가 미끼로 사용한 프로그램은…

원노트(OneNote)로 유포 중인 Qakbot 악성코드

안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. 보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다. 지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다. 사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과…

ASEC 주간 악성코드 통계 (20230130 ~ 20230205)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 1월 30일 월요일부터 2월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 39.3%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 28.8%, 이어서 백도어 27.0%, 랜섬웨어 2.6%, 코인마이너 2.2%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 19.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면…

정상 문서로 위장한 악성코드(kimsuky)

ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안분 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다. [kbs 일요진단]질문지.docx 임** 자기소개서.docx app-planning – copy.docx 공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다….

LockBit 2.0 랜섬웨어 이력서 위장으로 지속 유포 중

ASEC 분석팀은 이전에 수차례 소개한 Lockbit 2.0 랜섬웨어가 기존에 소개한 방식인 NSIS 형태가 아닌 MalPE 형태로 유포되고 있음을 확인하였다. MalPE 형태는 실제 악성코드의 분석을 방해하는 패킹 방식의 일종이며, 내부 쉘코드를 통해 PE파일을 복호화하여 실행한다. 랜섬웨어 모니터링을 통해 최근 1월 들어 LockBit 랜섬웨어의 유포가 증가한 것이 확인되었고, LockBit 랜섬웨어는 이전에 소개한 바와 같이 여전히 입사 지원서를 사칭한 파일명으로 유포중이다. 과거 파일명을 포함하여 새롭게 확인된 파일명들은 아래와 같다. “이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe”의 파일명으로 유포된 Lockbit 2.0 랜섬웨어는 MalPE 형태로 [그림…