AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

[그림 1] 실행 흐름 다이어그램

[그림 2] 악성코드 생성 파일 증적 데이터

[그림 3] 악성코드 주요 증적 데이터

[그림 4] 윈도우 정상 프로세스 mstsc.exe의 증적 데이터
타겟 공격을 일반 사용자가 대응하기엔 어려운 요소들이 있다. 이러한 위협에 대해 노출 되더라도 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이를 대응할 수 있다.
[파일 진단]
– Trojan/Win.Agent.R580958 (2023.05.24.02)
[IOC]
MD5
– 93fc0fb9b87a00b38f18c1cc4ee02e50
C2
– hxxp://ingarchi.com/bbs/data/culture
– hxxp://ingarchi.com/bbs/data/culture/getcfg.php
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지