원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)
악성코드

원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)

ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다. 대북관련 본문 내용의 External 링크를 이용한

  • 1월 10 2023
국세청 위장 메일을 통해 확인된 피싱 웹 서버
피싱/스캠

국세청 위장 메일을 통해 확인된 피싱 웹 서버

ASEC 분석팀에서는 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있었다.   그림 1) 원문 메일 그림 2) 계정 입력 피싱 사이트 그림 3) 로그인 페이지의 소스코드 ‘같은 비밀번호를 유지’라는 URL을 클릭하면 사내 메일

  • 1월 10 2023
한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT
APT 악성코드

한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT

ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를

  • 1월 04 2023
카카오 로그인화면으로 위장한 웹페이지
피싱/스캠

카카오 로그인화면으로 위장한 웹페이지

ASEC 분석팀은 최근 카카오의 로그인 페이지를 위장하여 특정인의 계정정보를 취하려는 정황을 확인하였다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도하였을 것으로 추정된다. 웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이

  • 1월 03 2023
포켓몬 게임으로 위장한 NetSupport RAT 악성코드 유포 중
악성코드

포켓몬 게임으로 위장한 NetSupport RAT 악성코드 유포 중

NetSupport Manager는 원격 제어 도구로서 일반 사용자나 기업 사용자들이 원격으로 시스템을 제어하기 위한 목적으로 설치하고 사용할 수 있다. 하지만 외부에서 특정 시스템을 제어할 수 있다는 기능으로 인해 다수의 공격자들에 의해 악용되고 있다. 원격 제어 도구(Remote Administration Tool)들은 대부분 커맨드 라인 기반인 백도어 및 RAT(Remote Access Trojan) 악성코드들과 달리 사용자 편의가

  • 12월 30 2022
S/W 크랙으로 위장한채 유포되는 Redline Stealer
악성코드

S/W 크랙으로 위장한채 유포되는 Redline Stealer

안랩 ASEC 분석팀은 기존의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 – ASEC BLOG ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는

  • 12월 29 2022