악성코드 정보

문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)

ASEC(AhnLab Security Emergency response Center)은 배치 파일(*.bat) 형태의 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 사용자 환경에 설치된 자사 제품을 포함한 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파리미터 등을 보아 Kimsuky 그룹에서 유포한 것으로 추정된다. 악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로 보여진다. 확인된 배치 파일의 파일명은 다음과 같이 워드, 한글 등 문서 프로그램의 뷰어로 보이도록 위장하였다. 확인 날짜 파일명 03.22 docview.bat 03.28 pdfview.bat 06.12 hwp.bat 06.20 docxview.bat 06.21 pdf.bat 표 1. 확인된…

크롬 원격 데스크톱을 악용하는 Kimsuky 공격 그룹

AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 크롬 원격 데스크톱을 악용하고 있는 것을 확인하였다. Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 획득하기 위해 자체 제작 악성코드인 AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며 [1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 악용하는 이력도 꾸준히 확인된다. [2] 여기에서는 최근 확인된 크롬 원격 데스크톱 악용 사례를 정리한다. Kimsuky 공격 그룹은 북한의 지원을 받고 있다고 확인되는 위협 그룹으로서 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관…

RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자

ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로 추정하고 있다. 공격자는 Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였다. 이러한 도구들을 이용해 감염 시스템이 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 수…

DNS TXT 레코드를 활용한 악성코드 실행방법

AhnLab Security Emergency response Center(ASEC)에서는 악성코드를 실행하는 과정에서 DNS TXT 레코드를 활용하는 정황을 확인하였다. 이러한 방식은 기존에 악성코드 실행방법으로 널리 활용되지 않았기 때문에 분석/탐지를 비롯한 여러 관점에서 유의미하다고 보여진다. DNS TXT 레코드는 도메인 관리자가 DNS에 텍스트를 입력할 수 있는 기능이다. 원래는 사람이 읽을 수 있는 메모를 기입하기 위한 목적이었으나, 현재 DNS TXT 레코드는 스팸메일 수신방지 & 도메인 소유권 확인 목적을 비롯하여 DNS에 저장된 다양한 유형의 정보를 나타내기 위해 사용되고 있다. 대표적인 두 가지 사용 목적 1) 스팸메일 수신방지 2) 도메인…

다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky

AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고 있다. (1) 유포 사례 5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로…