웹하드와 토렌트를 통해 유포 중인 njRAT
악성코드

웹하드와 토렌트를 통해 유포 중인 njRAT

njRAT 악성코드는 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 RAT 악성코드이다. 대표적으로 파일 다운로드 및 명령 실행, 키로깅 그리고 사용자 계정 정보 탈취와 같은 다양한 기능들을 제공하기 때문에 과거부터 꾸준히 공격자들에 의해 사용되고 있다. 또한 인터넷에서 쉽게 빌더를 구할 수 있기 때문에 국내 사용자들을 대상으로도 다양한 형태로 유포

  • 6월 07 2021
국내 메일 서비스 사용자 타겟 피싱 사이트(2)
피싱/스캠

국내 메일 서비스 사용자 타겟 피싱 사이트(2)

그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG 최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해

  • 6월 04 2021
불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!
악성코드

불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. [그림 1] –

  • 5월 26 2021
단축 도메인을 악용하는 기관 사칭 피싱메일 주의!
피싱/스캠

단축 도메인을 악용하는 기관 사칭 피싱메일 주의!

  ASEC 분석팀에서는 피싱 메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 첨부된 파일에서 동일류로 판단되는 피싱 메일이 다량으로 유포되고 있는 정황이 포착되었다. 해당류의 피싱 메일의 특징은 최종적으로 연결되는 피싱사이트의 HTML 파일 구조는 다르지만, 메일에 첨부된 리다이렉션 기능의 HTML 파일의 구조가 동일하고, 특정 단축 도메인(chilp.it)을 사용하여 피싱

  • 5월 25 2021
정상 엑셀/워드 문서로 위장한 악성 코드
악성코드

정상 엑셀/워드 문서로 위장한 악성 코드

ASEC 분석팀은 최근 특정 유형의 악성 매크로를 포함한 문서 파일이 지속적으로 유포되고 있음을 확인하였다. 해당 유형의 악성 파일은 아래와 같이 다양한 파일명으로 유포되고 있으며, 모두 정상 파일을 위장하는 내용을 담고 있어 사용자의 주의가 필요하다. 제헌절 국제학술포럼.doc 제28차 남북관계전문가토론회***.doc 사례비 양식.doc email_20210516.xls email_20210414.xls 최근 확인된 엑셀 파일의 경우 ’email_20210516.xls’과 같이 유포

  • 5월 24 2021
랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례
악성코드

랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례

기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은

  • 5월 24 2021
기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!
피싱/스캠

기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다. 공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고

  • 5월 21 2021
국내 메일 서비스 사용자 타겟 피싱 사이트
피싱/스캠

국내 메일 서비스 사용자 타겟 피싱 사이트

최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서

  • 5월 18 2021
V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)
EndPoint 악성코드

V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)

ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다. https://asec.ahnlab.com/ko/21256/ (V3

  • 5월 17 2021
피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드
피싱/스캠 악성코드

피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드

  ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의

  • 5월 13 2021