입사지원서를 위장한 악성코드 유포 중 Posted By ye_eun , 2023년 6월 1일 AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다. 위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다. 이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한…
ASEC 주간 악성코드 통계 (20230522 ~ 20230528) Posted By ASEC , 2023년 6월 1일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 22일 월요일부터 5월 28일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 52.5%로 1위를 차지하였으며, 그 다음으로는 다운로더가 38.1%, 이어서 백도어 6.4%, 랜섬웨어가 2.5%, 코인마이너가 0.4%로 집계되었다. Top 1 – Amadey Amadey Bot 악성코드는 이번 주 29.7%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이…
EDR을 활용한 AgentTesla 추적 및 대응 Posted By cka0 , 2023년 5월 31일 AhnLab Security Emergency response Center(ASEC)에서는 매주 주간 악성코드 통계를 정리하여 게시하고 있다. 이 중 지속적으로 유포되고 있는 인포스틸러 악성코드인 AgentTesla를 EDR을 활용하여 어떻게 탐지되는지 추적과 대응 방법에 대해 공유하고자 한다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 안랩 EDR 제품에서는 특정 유형의 PE 가 사용자 계정 정보 파일에 접근하는 행위를 위협으로 탐지한다. 계정 정보 탈취 행위 탐지의 상세 정보에서 다이어그램을 확인하면 AgentTesla 의 행위를 추적 할 수 있다. [그림 3]을 확인해보면 AgentTesla는…
ASEC 주간 피싱 이메일 위협 트렌드 (20230514 ~ 20230520) Posted By ASEC , 2023년 5월 26일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 14일부터 05월 20일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
EDR을 활용한 프로세스 할로잉(Hollowing) 악성코드 추적 Posted By ohmintaek , 2023년 5월 25일 AhnLab Security Emergency response Center(ASEC)은 아랫글과 같이, 닷넷 패커의 종류 및 유포 동향 보고서를 공개하였다. 보고서를 통해 알 수 있듯이, 닷넷 패커는 대부분 패커를 통해 감추고 있는 실제 악성 EXE를 로컬에 생성하지 않고, 정상 프로세스에 악성코드를 주입하여 동작시킨다. 최신 닷넷 패커의 종류 및 국내 유포 동향 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 최초 유포 파일 또는 중간 단계의 로더 역할로 악용되고 있다. 닷넷 패커에 감춰진 악성 파일이 C2 명령에 따라 제어되는 백도어 유형에 경우 탐지에 어려움이 있을…