악성코드 정보

Surtr 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “[DycripterSupp@mailfence.com].[<랜덤문자열>].Surtr” 확장자를 추가하는 Surtr 랜섬웨어가 유포되는 것을 확인하였다. Surtr 랜섬웨어 감염 시, [그림 1, 2]와 같이 감염된 PC의 배경화면 변경 및 랜섬노트 생성을 통해, 사용자에게 랜섬웨어 감염 사실을 주지시키며, [그림 3]과 같이 감염된 파일이 존재하는 폴더마다 랜섬노트 파일(SURTR_README.hta 및 SURTR_README.txt) 을 생성하는 특징이 있다. Surtr 랜섬웨어는 실질적인 파일 암호화 수행 전, 해당 파일이 실행되는 국가의 IP 주소 확인, 프로세스 리스트 확인 및 서비스 종료 등의 작업을 수행하는 특징이 있다….

원자력 발전소 관련 기업 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 원자력 발전소 관련 기업 대상으로 AppleSeed 악성코드를 유포하는 정황을 확인하였다. AppleSeed는 북한 관련 조직 중 하나인 Kimsuky 에서 사용하는 백도어 악성코드로 여러 기업을 타겟으로 활발히 유포하고 있다. 이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다. 파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다. 파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소…

Elbie 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다. 초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다. 이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다. 인젝션 되어 실행된 랜섬웨어는 %AppData% 경로에 복사본을 드롭하고, 시작 프로그램으로 등록한다. 또한, 시스템 복구를 막는 행위를 수행하기 위해 UAC창을 띄워 관리자 권한을 통한 시도를 유도한다. 관리자 권한을 얻은 프로세스는 2개의 cmd.exe를 실행시켜…

VBS를 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다. VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다. 압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다. 날짜 파일명 10/05 doc_10049500220529464169750.pdf.vbs 10/07 doc_5246701207754814333490.vbs 10/12 № 106 –…

Qakbot 악성코드 국내 유포 중

ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에 블로그를 통해 소개했던 Bumblebee 와 IceID 의 유포 과정과 동일하다. 사용자는 이전 메일 내용이 포함되어 있어 정상적인 회신 메일로 착각할 수 있다. 최근 이와 같은 이메일 하이재킹 방식이 증가하고 있는…