Kaseya VSA 공급망 공격 랜섬웨어(REvil 그룹)
APT 악성코드

Kaseya VSA 공급망 공격 랜섬웨어(REvil 그룹)

MSP(Managed Service Provider)및 기업 관리 솔루션 개발사 Kaseya의 프로그램 VSA(각종 패치 관리와 클라이언트 모니터링을 수행할 수 있는 cloud 기반 매니지먼트 서비스) 취약점으로 배포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 BlueCrab(Sodinikibi)랜섬웨어로 확인되었다. 아래의 그림은 해당 랜섬웨어 감염 시, 바탕화면의 모습을 나타내며 국내 활발하게 유포중인 BlueCrab과 동일함을 알 수 있다. 국내 이슈되는 BlueCrab이

  • 7월 09 2021
다양한 이미지를 포함하여 유포되는 Excel 4.0 매크로
악성코드

다양한 이미지를 포함하여 유포되는 Excel 4.0 매크로

ASEC 분석팀은 Excel 4.0 매크로(수식 매크로)를 이용한 악성 엑셀 파일이 지속적으로 유포 중임을 확인하였다. 해당 악성코드는 지난 5월 불특정 다수에게 메일을 통해 유포된 적이 있으며, 현재까지 다수 확인되고 있어 사용자의 주의가 필요하다. 악성 엑셀 파일 내부에는 매크로 실행을 유도하는 이미지가 포함되어 있으며, 아래는 현재 유포중인 파일에서 사용된 이미지이다. [그림 1]

  • 7월 09 2021
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향
트렌드 악성코드

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향

ASEC 분석팀에서는 악성 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 TA551 공격그룹에서 유포한 유형의 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것이 확인되어 이를 소개하려 한다. TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 문서 매크로 허용 시 HTA 파일을 드롭한

  • 7월 07 2021
‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포
악성코드

‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포

ASEC 분석팀에서는 아래와 같이 2차례에 걸쳐 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드 문서 악성코드가 유포 중임을 소개하였다. 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 워드 문서가 유포된 정황을 확인하였다. 새로 포착된 악성 워드 문서 제목 민주평통-한국정치외교사학회 공동 학술 회의

  • 7월 02 2021
국내 포럼 자료실에서 Nitol 악성코드 유포 중
악성코드

국내 포럼 자료실에서 Nitol 악성코드 유포 중

ASEC 분석팀은 국내 한 커뮤니티 포럼 자료실에서 악성코드가 유포 중인 것을 확인하였다. 공격자는 유틸리티 공유로 위장한 악성코드 유포 게시글 4개를 업로드하였다. 해당 게시글에서는 특정 유틸리티로 위장한 Nitol 악성코드를 유포한다. 관련 공격은 지난 6월부터 계속되었다.   그림1. 악성코드 유포 게시글 각각의 게시글에는 유틸리티에 관한 설명과, 토렌트 파일이 첨부되어 있다. 토렌트 클라이언트를

  • 7월 02 2021
하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중
악성코드

하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중

ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다. 유포 메일 내용 메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가

  • 6월 30 2021
V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)
EndPoint 취약점

V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신

  • 6월 22 2021
디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드 유포
악성코드

디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드 유포

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 정보 탈취 악성코드가 유포 중인 것을 확인하였다. 디스코드를 통해 유포되는 해당 악성코드는 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달한다. 참고로 디스코드를 이용해 유포되는 방식은 기존에도 소개된 바가 있다. 디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드 – ASEC BLOG ASEC 분석팀에서는 최근 디스코드 메신저를 통해

  • 6월 14 2021
타겟형 공격 악성 워드문서 유포
악성코드

타겟형 공격 악성 워드문서 유포

APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고

  • 6월 09 2021
다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드
악성코드

다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드

CryptBot 악성코드는 유틸리티 다운로드 페이지를 위장한 악성 사이트를 통해 유포되는 정보탈취형 악성코드다. 특정 프로그램, 크랙, 시리얼 등의 키워드를 검색 시 관련 유포지가 상단에 노출되며, 해당 페이지에 접속하여 다운로드 버튼을 누를 경우 CryptBot 악성코드 다운로드 페이지로 리디렉트 된다. 피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드 – ASEC BLOG ASEC 분석팀은 유틸리티

  • 6월 08 2021