특정 논문의 악성 워드 문서를 이용한 APT 공격
ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 추정된다. 사례비지급 의뢰서(양식).doc (6월 9일 ASEC블로그) [** 하계학술대회]_양력.doc (6월 30일 ASEC블로그)
Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)
ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다. VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다. Kimsuky 그룹은 최초
kakaoTest.exe 파일명의 Kimsuky 제작 추정 악성코드
최근 ASEC 분석팀은 워드 문서를 이용하여 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에는 이전 게시글의 Kimsuky 그룹이 제작 유포했던 ‘제헌절 국제학술포럼.doc’, ‘제28차 남북관계전문가토론회***.doc’ 등의 문서 파일로부터 생성된 악성코드와 동일한 코드를 사용한 악성 파일을 추가 확인하여 공유하고자 한다. 해당 파일은 테스트 단계의 파일로 보이며 Kimsuky
워드문서를 이용한 특정인 대상 APT 공격시도
ASEC 분석팀은 이전 “‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포” 등으로 소개하였던 악성 워드 문서와 동일한 유형의 악성코드가 여전히 유포되고 있음을 확인하였다. 최근 확인된 워드 파일 역시 기존과 동일하게 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 다운로드한다. 확인된 파일명과 Extarnal 주소는 아래와 같다. 발견일 파일명 External URL 7/3
Kaseya VSA 공급망 공격 랜섬웨어(REvil 그룹)
MSP(Managed Service Provider)및 기업 관리 솔루션 개발사 Kaseya의 프로그램 VSA(각종 패치 관리와 클라이언트 모니터링을 수행할 수 있는 cloud 기반 매니지먼트 서비스) 취약점으로 배포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 BlueCrab(Sodinikibi)랜섬웨어로 확인되었다. 아래의 그림은 해당 랜섬웨어 감염 시, 바탕화면의 모습을 나타내며 국내 활발하게 유포중인 BlueCrab과 동일함을 알 수 있다. 국내 이슈되는 BlueCrab이
미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)
ASEC 분석팀에서는 대북관련, 공공기관 등으로 위장하여 유포되는 악성 문서를 지속적으로 보고하고 있다. 이번 소개할 내용은 미국 투자은행을 사칭하여 유포되는 악성 DOC(워드) 문서로 사칭 내용은 [그림 1]과 같다. 해당 악성 DOC(워드) 문서는 MAC OS 환경에서 동작하며 감염시 사용자 PC에 백도어를 설치한다. 해당 악성 DOC(워드) 문서는 [그림 2] 와 같이
비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격
ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. [그림1] – 우크라이나 국방부를 타겟으로 한 피싱메일 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이
오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포
MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성
대북관련 질의서 제목의 한글문서(HWP) 유포
ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은
군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중
ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은
