Elbie 랜섬웨어 국내 유포 중
ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다. 초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다. 이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다. 인젝션 되어
VBS를 통해 유포 중인 AgentTesla
ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다. 윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla – ASEC BLOG ASEC
Qakbot 악성코드 국내 유포 중
ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에
취약한 아파치 톰캣 웹 서버를 대상으로 설치되는 코인 마이너 악성코드
ASEC 분석팀에서는 최근 취약한 아파치 톰캣 웹 서버를 대상으로 하는 공격을 확인하였다. 최신 업데이트가 되지 않은 톰캣 서버는 대표적인 취약점 공격 벡터 중 하나이다. 과거에도 ASEC 블로그에서 취약한 JBoss 버전이 설치된 아파치 톰캣 서버를 대상으로 한 공격을 소개한 바 있다. 공격자는 취약점 공격 도구인 JexBoss를 이용해 웹쉘을 설치한 후 미터프리터
.NET 외형의 FormBook 악성코드 유포 중
안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적
국내 유명 메신저 프로그램으로 위장하여 유포 중인 Amadey Bot
2022년 10월 17일인 오늘, KISA로부터 ‘카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고’ 보안 공지가 게시되었는데, 해당 내용에 따르면 이메일을 통해 카카오톡 설치파일(KakaoTalkUpdate.zip 등)로 위장하여 유포되고 있음을 알 수 있다. KISA 보안 공지 참고 URL : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66958 ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다.
Word 로 위장한 GuLoader 악성코드 국내 유포
ASEC 분석팀은 GuLoader 악성코드가 국내 기업 사용자를 대상으로 유포 중인 정황을 포착하였다. GuLoader 는 다운로더 악성코드로, 다양한 악성코드를 다운로드하며 과거부터 꾸준히 변형되어 유포되고 있다. 유포 중인 피싱 메일은 아래와 같으며, HTML 파일이 첨부된 형태이다. 첨부된 HTML 파일을 실행하게 되면, 아래 URL 을 통해 압축 파일이 다운로드된다. 다운로드 URLhxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip 압축 파일
빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어
매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다. [표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl,
RDP를 이용하는 공격 기법 및 사례 분석
개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한
다양한 원격 제어 도구들을 악용하는 공격자들
개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인
