계정 이용 제한 안내 메일로 위장한 피싱 메일 유포 중
ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다. 최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을
사례비 의뢰서 위장 악성 워드 (External 연결 + VBA 매크로)
문서형 악성코드가 유행이라고 해도 과언이 아닐 만큼 다양한 형태의 악성 문서(HWP, WORD, EXCEL, PDF 등)들이 유포되고있어, ASEC 분석팀에서도 그간 해당 블로그에 다수 관련 내용을 제공해왔다. 그리고 이번에도 새로운 형태의 악성 워드(WORD)문서가 확인되어 이에 대해 알리려한다. ‘사례비지급 의뢰서’로 위장한 악성 워드 형태이며 기존과 조금 다른 점은 악성 External 연결과 VBA 매크로를
국내 MS Exchange Server 취약점 공격 정황 포착 (2)
ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다.
대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해
V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지
V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1]
주의! 안랩 사칭 견적서 내용의 악성코드 유포 중!!
안랩을 사칭한 피싱 이메일이 유포중이다. 3월 19일 오전 접수된 이메일 파일에 따르면 공격자는 ‘안랩몰’을 사칭하여 이메일을 발송하였다. 공격자는 TMON(티몬), 정부 산하 에너지경제연구원 등 다수의 기업과 공공기관을 대상으로 이메일을 발송하고 있는 것으로 보인다. 제목: [견적서] 주식회사 안랩입니다. 발송자: AhnLab (csadmin@rm.ahnlab.com) ‘[견적서 다운로드 (클릭)]]’ 부분을 클릭하면 피싱 페이지로 이동한다. 접속 주소는 메일
국내 기업을 타겟으로 유포 중인 코발트 스트라이크
코발트 스트라이크(Cobalt Strike)는 상용 침투 테스트 도구이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 각 단계별로 다양한 기능들을 지원한다. 하지만 크랙 버전이 공개됨에 따라 다양한 공격자들에 의해 악성코드로서 사용되고 있으며, 특히 다수의 랜섬웨어 공격자들이 내부 시스템 장악을 위한 중간 단계로써 사용하고
주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중
매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기
국내 MS Exchange Server 취약점 공격 정황 포착
Microsoft 는 지난 3월 2일 MS Exchange Server 와 관련된 아래 7 개의 원격 명령 실행 취약점을 보고하였다. 해당 취약점은 Exchange Server 에 대한 인증, 권한 획득, 파일 쓰기 등 을 통해 임의의 명령을 실행할 수 있게 된다. 또한 해당 공격을 통해 사용자 정보 탈취 및 악성 파일 설치 등의
메일을 통해 유포 중인 새로운 버전의 Formbook 악성코드
Formbook은 Infostealer 유형의 악성코드로, 주로 메일의 첨부파일을 통해 유포되며 유포량이 매우 많다. ASEC 블로그에도 관련 게시글을 여러 차례 게시하였다. Formbook 악성코드의 C2 통신 방식 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! ASEC 분석팀은 최근 Formbook 악성코드가 이메일을 통해 새로운 버전으로 유포 중인 것을 확인했다. 기존 Formbook 악성코드는 내부에 버전을 의미하는 숫자가 “4.1”
