ASEC 주간 악성코드 통계 ( 20210712 ~ 20210718 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 12일 월요일부터 2021년 7월 18일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 60.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.4%, 다운로더가 8.1%, Coin Mine가 7.1%, 랜섬웨어가 4.4%로 집계되었다. Top 1 –  Vidar 이번주는 Vidar가 13.7%를 차지하며 1위를 차지하였다. Vidar는 대표적인 인포스틸러 / 다운로더 악성코드이다. Vidar는 웹 브라우저, FTP, 코인 지갑 주소, 스크린샷 등의 인포스틸러 기능 외에도 추가…

파일리스로 동작하는 Remcos RAT 악성코드

ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면 아래 그림과 같다. 공격자는 메일의 첨부 파일을 통해 악성 매크로가 포함된 Excel 파일을 유포하는데, 매크로가 실행이 되면 PowerShell 을 이용하여 JS 파일과 추가 데이터를 내려받는다. 이후 Remcos RAT 악성코드는 윈도우…

워드문서를 이용한 특정인 대상 APT 공격시도

ASEC 분석팀은 이전 “‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포” 등으로 소개하였던 악성 워드 문서와 동일한 유형의 악성코드가 여전히 유포되고 있음을 확인하였다. 최근 확인된 워드 파일 역시 기존과 동일하게 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 다운로드한다. 확인된 파일명과 Extarnal 주소는 아래와 같다. 발견일 파일명 External URL 7/3 [남북회담본부 정책자문위원] 약력 작성 양식.docx hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm 7/6 00225 한미의원대화 ***.docx hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/9 *** 교수님 BIO.docx hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/12 *** 교수-BIO.docx hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/15 BIO 양식.docx hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm [표-1] 유포 파일명과…

ASEC 주간 악성코드 통계 ( 20210705 ~ 20210711 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 5일 월요일부터 2021년 7월 11일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.4%로 1위를 차지하였으며, 그 다음으로는 CoinMiner 15.5%, RAT (Remote Administration Tool) 악성코드 14.4%, 다운로더 12.9%, 랜섬웨어 2.7%, Ddos 0.8% 순으로 집계되었다. Top 1 –  Glupteba 15.5%를 차지하는 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를 설치하는 코인 마이너 악성코드이다….

더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)

엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(DopplePaymer) 랜섬웨어, CLOP 랜섬웨어 감염으로 이어진 피해 사례가 있음으로 기업 사용자 환경의 경우 더욱 주의가 요구된다….

로드 중…

문제가 발생했습니다. 페이지를 새로 고친 후 다시 시도하세요.