악성코드 정보

Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD

Sliver는 Go 언어로 개발된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구들로는 대표적으로 코발트 스트라이크와 Metasploit이 있으며 실제 많은 공격자들이 애용하고 있고 ASEC 블로그에서도 다양한 공격 사례들을 다룬 바 있다. 최근에는 코발트 스트라이크나 Metasploit 외에도 공격자들이 Sliver를 사용하는 사례들이 확인되고 있다. ASEC (AhnLab Security Emergengy response Center) 분석팀은 취약점이 패치되지 않은 시스템이나 부적절하게 설정된 시스템들을 대상으로 하는 공격들을 모니터링하고 있으며, 최근 Sliver 백도어가 특정 소프트웨어에 대한 취약점 공격으로 추정되는 과정을 통해 설치되고 있는 것을 확인하였다. 공격자들은 이외에도 Sliver 백도어뿐만 아니라…

정상 한글 문서를 위장한 악성 링크 파일(LNK)

ASEC 분석팀은 정상 한글 문서를 위장한 악성 LNK 파일이 유포되고 있음을 확인하였다. 국세청을 사칭한 텍스트 파일과 함께 유포되고 있으며 관련 내용이 담긴 정상 한글 문서가 실행되어 사용자가 악성 파일임을 인지하기 어렵다. 최종적으로 실행되는 악성 스크립트 파일은 ‘제품소개서로 위장한 악성 워드 문서‘ 에서 소개한 악성스크립트와 동일한 유형으로 확인되며 같은 공격자에 의해 제작된 것으로 보인다. 최근 확인된 LNK 파일은 다음과 같이 주로 세무조사와 관련된 파일명으로 유포되고 있다. LNK 파일은 정상적인 텍스트 파일과 함께 압축 파일 형태로 유포되는 것으로 추정된다. 공격자는 해당 텍스트…

제품 견적 의뢰 위장 피싱메일 유포 중

최근 ASEC 분석팀에서는 제품의 견적 의뢰를 요청한다는 내용으로 피싱메일들을 모니터링하였다. 해당 피싱 메일들은 공통적으로 제조업체나 주물공장의 팀장, 부장과 같이 높은 직책의 관리자가 보낸 것처럼 위장하고 있다. 또한 첨부파일이 있었는데, .html과 .htm이었다. 이 글에서는 대표적인 두 가지 견적의뢰 위장 피싱메일에 대한 정보를 전달한다. 편의상 1번 피싱 메일, 2번 피싱 메일로 명명하여 작성하였다. [그림 1] 유포 중인 1번 피싱 메일 [그림 2] 첨부파일 .html 1번 피싱 메일의 .html 첨부파일을 열어보면, 계정 로그인을 요구하는 화면을 확인할 수 있다. 제품에 대한 견적 의뢰를 요청하는…

TZW 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다. 해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다. 닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를 통해 랜섬웨어 파일을 최종적으로 로드하여 실행하는 구조이다. 리소스 영역의 존재하는 데이터 중 ‘dVvYsaL’를 메모리 상에서 디코딩하여 파일을 실행시키는데 이 데이터가 바로 로더와 랜섬웨어 데이터를 포함한다. 이와 같은 방식은 기존 ASEC…

사용자 메일 주소에 따라 변경되는 피싱 페이지 (favicon 이용)

ASEC 분석팀에서 지속적으로 피싱 메일에 대하여 모니터링을 수행하고 있다. 다수의 피싱 메일들이 확인되고 있는데, 사용자가 입력하는 본인 계정의 메일 서비스 종류에 따라 그에 해당하는 아이콘으로 변경되어 유포 중임을 확인하였다. 어제인 2023년 1월 16일 날짜로 유포된 메일로, 계정이 종료됨을 경고하며 다시 활성화가 필요할 시 ‘지금 재활성화하십시오‘ 링크를 클릭하도록 유도한다. 연결 된 피싱 페이지를 통해 사용자들의 이메일 계정 및 비밀번호가 유출된다. 이 때 연결된 페이지 상에서 기존과 다른 점이 확인된다. 기존에는 사용자의 메일 계정이 이미 자동 완성되어 있으며, 비밀번호만 입력하면 되는 형식이었다….