취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크
ASEC 분석팀은 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격(Brute Forcing) 또는
변형된 CryptBot 정보 탈취 악성코드 유포 중
CryptBot 악성코드는 주로 크랙 및 툴 공유로 위장하여 유포되는 정보 탈취 유형의 악성코드이다. 유포 페이지는 구글 등의 검색 엔진의 검색 결과 상위에 노출되어 감염 위험이 크며 관련 진단의 탐지 수량 또한 많은 편이다. 때문에 ASEC 분석팀에서는 기존 여러 포스팅을 통해서 관련 위협에 대해 주의를 당부하였다. 지속적으로 변형되며 유포 중인 CryptBot
Magniber 랜섬웨어의 유포 중단 (2/5 이후)
안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트
Cryptbot 과 동일한 방식으로 PseudoManuscrypt 국내 유포 중
ASEC 분석팀은 지난 2021년 5월 경부터 현재까지 PseudoManuscrypt 악성코드가 국내 유포 중인 정황을 포착하였다. PseudoManuscrypt 악성코드는 ASEC 블로그에 소개해왔던 Cryptbot 악성코드와 유사한 형태의 설치 파일로 위장하여 유포되고 있으며 파일의 형태 뿐만 아니라, 검색 엔진에 Crack, Keygen 등 상용 소프트웨어 관련 불법 프로그램에 대해 검색할 경우 상위에 노출되는 악성 사이트를 통해
국내 유명 포털 서비스로 위장한 피싱 메일
ASEC 분석팀은 최근 국내 유명 포털 서비스를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 해당 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다. 메일 제목 및 본문은 아래와 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다. [그림 1]
엑셀 문서를 통해 Emotet 악성코드 국내 유포 중
ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축
악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)
ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx [그림 1] 메일 제목 / 본문 워드문서를 실행하면 아래와 같은 내용이 사용자에게
Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.
다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일
작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다. 국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG 최근 악성코드 유포 키워드 중 많은 비중을 차지
마스토돈 SNS를 악용하는 Vidar 악성코드
ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에
