ASEC 주간 악성코드 통계 ( 20210614 ~ 20210620 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 6월 14일 월요일부터 2021년 6월 20일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 79.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.5%, 다운로더가 1.9%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 22.0%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버 및 사용자…

V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신 메그니베르 랜섬웨어의 탐지/차단이 가능하다. [그림 1]은 최신 매그니베르 랜섬웨어의 감염 과정이다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다. 따라서 랜섬웨어 행위를…

ASEC 주간 악성코드 통계 ( 20210607 ~ 20210613 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 6월 7일 월요일부터 2021년 6월 13일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 67.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 20.3%, 뱅킹 악성코드가 8.8%, 다운로더가 2.2%로 집계되었다. 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 24.7%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보…

디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드 유포

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 정보 탈취 악성코드가 유포 중인 것을 확인하였다. 디스코드를 통해 유포되는 해당 악성코드는 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달한다. 참고로 디스코드를 이용해 유포되는 방식은 기존에도 소개된 바가 있다. 악성코드를 유포하는 디스코드 서버는 다음과 같이 불법 성인물을 판매 및 유통하는 곳이다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 “무료야동” 채널에 압축 파일을 업로드하고 사용자들의 실행을 유도한다. run_2.zip 압축 파일을 풀면 run.exe 실행 파일을 확인할 수 있으며, 이것이 닷넷으로 개발된 실제 악성코드이다. 해당 악성코드는 현재 시간을 구하여…

타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포

APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다 파일명: 사례비지급 의뢰서(양식).doc SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8 최초 작성자: Network Group 최종 수정자: Naeil_영문시작 문서 생성일: 2021-03-02 09:01:00 최종 수정일: 2021-06-07 02:23:00Z…