웹하드를 통해 유포 중인 모네로 코인 마이너 악성코드
웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT,
국내 기업 대상의 귀신(Gwisin) 랜섬웨어
최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에
공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)
ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이
국내 대학교 대상으로 악성 CHM 유포 중
ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. 문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) – ASEC BLOG ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서
국내 포털 사이트 Daum으로 위장한 피싱 메일
ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로
Proxyware를 이용해 수익을 얻는 공격자들
Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램이다. 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 이러한 서비스를 제공하는 업체들로는 Peer2Profit, IPRoyal과 같은 회사들이 있다. 해당 업체들은 제공 받은 대역폭을 다른 업체들에 제공하는 방식으로 수익을 얻는데 홈페이지에 따르면 소프트웨어 배포, 시장 조사, 광고 검증,
특정 군부대 유지보수 업체 대상으로 AppleSeed 유포
ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 발주서, 품의서를 위장한 AppleSeed 유포 – ASEC BLOG ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서
ISO 파일을 통해 IcedID 유포 중
ASEC 분석팀은 ISO 파일을 통해 다양한 악성코드가 유포되고 있는 사례를 소개해왔다. 최근에는 ISO 파일을 통해 모듈형 뱅킹 악성코드인 IcedID 가 유포 중인 것을 확인하였다. 확인된 유형은 2가지로, 하나는 이전에 소개했던 Bumblebee 악성코드와 동일한 방식을 이용하였다. 나머지 유형 또한 비슷한 방식을 사용했지만, 스크립트 파일과 cmd 명령어가 추가된 형태이다. 이메일 하이재킹을 통해
매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자
2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다. 정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22) – ASEC BLOG ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은
취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례
ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를
