국세청 위장 메일을 통해 확인된 피싱 웹 서버 Posted By sm.Yi , 2023년 1월 10일 ASEC 분석팀에서는 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있었다. 그림 1) 원문 메일 그림 2) 계정 입력 피싱 사이트 그림 3) 로그인 페이지의 소스코드 ‘같은 비밀번호를 유지’라는 URL을 클릭하면 사내 메일 로그인 페이지가 확인되는데, 해당 로그인 페이지의 HTML 스크립트 코드는 위와 같다. 코드에서 확인할 수 있듯이, 사용자가 로그인을 하면 사용자의 계정정보가 공격자의 서버로 유출되는 형식을 띠고 있다. 그림 4) 공격자의 서버…
한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT Posted By Sanseo , 2023년 1월 4일 ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록하여 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 변화되었다. 웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는…
카카오 로그인화면으로 위장한 웹페이지 Posted By ASEC , 2023년 1월 3일 ASEC 분석팀은 최근 카카오의 로그인 페이지를 위장하여 특정인의 계정정보를 취하려는 정황을 확인하였다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도하였을 것으로 추정된다. 웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이 가능한 카카오 로그인페이지의 정상포맷(그림 2)과 동일하게 제작되었다. ASEC 분석팀에서 지속적으로 대북관련 모니터링을 해온 것을 토대로, 이러한 정상포맷의 특징을 통해 해당 ID가 ‘kakao.com’ 혹은 ‘hanmail.net’ 메일계정에 사용되었을 가능성을 고려해보면…
포켓몬 게임으로 위장한 NetSupport RAT 악성코드 유포 중 Posted By Sanseo , 2022년 12월 30일 NetSupport Manager는 원격 제어 도구로서 일반 사용자나 기업 사용자들이 원격으로 시스템을 제어하기 위한 목적으로 설치하고 사용할 수 있다. 하지만 외부에서 특정 시스템을 제어할 수 있다는 기능으로 인해 다수의 공격자들에 의해 악용되고 있다. 원격 제어 도구(Remote Administration Tool)들은 대부분 커맨드 라인 기반인 백도어 및 RAT(Remote Access Trojan) 악성코드들과 달리 사용자 편의가 중요하기 때문에 원격 데스크탑 즉 GUI 환경을 제공하는 것이 특징이다. 비록 악의적으로 개발된 것은 아니라고 하더라도 감염 시스템에 설치될 경우에는 공격자에 의해 추가 악성코드 설치나 정보 탈취와 같은 악의적인 목적으로…
코인 마이너를 설치하는 Shc 리눅스 악성코드 Posted By Sanseo , 2022년 12월 27일 ASEC 분석팀은 최근 Shc로 개발된 리눅스 악성코드가 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격자는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 사전 공격을 통해 인증에 성공한 뒤 다양한 악성코드들을 설치한 것으로 추정되며, Shc 다운로더 악성코드와 이를 통해 설치되는 XMRig 코인 마이너 그리고 Perl로 개발된 DDoS IRC Bot이 확인된다. 1. Shc (Shell Script Compiler) Shc는 Shell Script Compiler의 약자로서 Bash 쉘 스크립트를 ELF 실행 파일 포맷으로 변환해 주는 역할을 한다. Bash는 리눅스 운영체제에서 제공하는 기본 쉘로서 Bash 쉘이 지원하는 명령들은…
