국내 유명 금융 앱 사칭한 피싱공격 Posted By ASEC , 2022년 12월 14일 ASEC 분석팀은 최근 금융권의 정상 웹사이트를 타겟으로 한 악성 도메인들이 다수 생성된 정황을 확인하였다. 지난 11월 초부터 아래와 같이 네이버 고객센터를 사칭한 피싱메일의 유포가 다수 확인되었고, 이를 통해 해당 메일에 포함된 악성URL을 모니터링 하고 있었다.보낸사람의 Username은 ‘Naver센터’ 였으며, 내용은 연락처 변경알림 / 새 일회용번호 생성알림 / 타지역 로그인 알림 / 메일함용량 초과알림 / 접속시도 차단알림 등의 일반 사용자를 속이기 위한 다양한 내용이 확인되었다. 위의 첨부한 그림에서 ‘휴대전화 번호 확인하러 가기’ 링크를 클릭하면, 네이버 로그인화면을 사칭한 페이지가 확인되고 해당 페이지에 계정정보를…
가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot Posted By ASEC , 2022년 12월 13일 최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크 이미지 파일은 내부 파일 추출 또는 마운트 시, 내부 파일에 MOTW 가 상속되지 않아 MOTW 기능을 우회할 수 있다. 관련 페이지 : https://attack.mitre.org/techniques/T1553/005/ Qakbot 을 유포 중인 피싱 메일은 아래와 같다….
다양한 플랫폼을 악용하는 Vidar Stealer Posted By ASEC , 2022년 12월 13일 Vidar 악성코드는 꾸준하게 유포 중인 정보탈취 유형의 악성코드로 최근 유포량이 눈에 띄게 늘었다. Telegram, Mastodon등의 유명 플랫폼을 중간 C2로 활용하는 것이 특징이다. 다음 링크는 Mastodon을 활용하여 악성 행위를 수행하는 사례에 대한 포스팅이다. 이후에도 Vidar 악성코드는 활발히 유포되며 지속적으로 버전이 업데이트되었고, 최근 유포 중인 샘플군에서는 Telegram, Mastodon 뿐만 아니라 Steam, TikTok 등 다양한 플랫폼이 사용되고 있어 관련 내용을 소개하고자 한다. 온라인 플랫폼의 계정을 생성하면 누구든지 접속이 가능한 계정 고유의 페이지가 만들어진다. 공격자는 이 페이지의 일부 공간에 식별 문자와 C2 주소를 작성한다….
Magniber Ransomware 12/9 유포 시작 코로나 관련 파일명 포함 유포 주의! Posted By ASEC , 2022년 12월 12일 안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [표-1] 코로나 관련 유포 파일명 Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로 랜섬웨어를 감염시켰으나, MicroSoft에서 Internet Explorer의 서비스가 종료되자 새로운 브라우져의 취약점을 이용하는 것을 포기하고 사회공학적 기법을 이용하여 보안 업데이트나, 앞서 말한 것처럼 코로나 관련 파일명을 유표하여 실행을 사용자에게 맡기고 있다. 이는…
Amadey Bot을 설치하는 Nitol DDoS 악성코드 Posted By Sanseo , 2022년 12월 12일 ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다. Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit…
