악성코드 정보

LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중

ASEC 분석팀은 지난 3차례에 걸쳐 LockBit 랜섬웨어가 메일을 통해 유포되고 있음을 ASEC 블로그에 게시한 바가 있는데, 꾸준한 모니터링을 통해 LockBit 2.0과 LockBit 3.0 랜섬웨어가 파일명만 변경하여 또 다시 유포 중임을 알리고자 한다. 이번 유포 방식은 이전에 소개하였던 워드 문서나 저작권 사칭 메일이 아닌 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 피싱 이메일에 첨부된 압축 파일은 [사람이름].zip 형태로 존재하고, 내부에는 추가적인 압축 파일이 존재한다. 추가 압축 파일 내부에는 사진 파일을 위장한 LockBit 2.0 랜섬웨어와 정상 엑셀 파일을 확인할 수 있다….

나의 전화번호는 어떻게 유출될까?

개인정보보호법은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다. 이 글에서는 개인정보인 전화번호를 수집하는 PUP 프로그램에 대해 소개한다. [그림 1]은 “OOO 중고나라 전화번호 추출 프로그램” 의 파일명을 갖는 PUP 프로그램이다. 중고나라는 OOO의 카페로 회원수 1900만명을 보유한 카페이다. 해당 카페의 회원들이 사용하지 않는 중고물품을 등록하여 판매하는 사이트이다….

블로그 자동 포스팅과 자동 신고 프로그램

스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다. 파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를 통해 작성했던 스팸 프로그램과 동일한 C# 언어로 개발 되었다. 주요 기능으로는 키워드를 이용하여 특정 블로그에 대한 글을 검색하여 블로그 내용에 특정 URL이 존재할 경우 리스트에 추가 하여 신고한다. 위 내용만 보면 해당 기능들은 정상 프로그램의 기능처럼…

MS Office 정상 URL 위장하여 유포중인 워드문서

최근 워드 문서로 위장한 악성코드가 특정 경로(ex. 카카오톡 단체대화방)를 중심으로 유포되는 이슈가 공유된 바 있다. ASEC 분석팀은 추가 모니터링 과정에서, 유사 워드문서에 사용된 URL이 정상 URL과 유사성 측면에서 매우 교묘해지는 정황을 확인하여 사용자들에게 주의를 당부하고자 한다. 내부적으로 현재까지 확인된 악성 워드문서의 파일명은 다음과 같다.파일명에서 확인되는 내국인의 실명은 삭제처리(○○○)하였는데, 외교안보 분야의 전문가인 점과 파일명도 대북/대중/설문지/외교안보와 관련된 특징이 있었다. 위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서이며 Template Injetion 기능을 공격에 활용하였는데, 아래의 XML코드는 특정 워드 파일 내부에 존재하는 settings.xml.rels 파일을…

뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다. 확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다. 문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시…