임금 수령 통지서를 위장한 큐싱 메일 유포 Posted By gygy0101 , 2024년 1월 25일 AhnLab SEcurity intelligence Center(ASEC) 은 최근 중화인민공화국 재정부를 사칭한 큐싱 메일이 유포 중인 것을 확인하였다. 큐싱이란(Qshing), QR 코드와 피싱(Phishing) 의 합성어로 QR 코드를 스캔하게 되면 악성 앱 설치 또는 피싱 사이트에 접속하게 한다. 유포 중인 메일은 [그림 1] 과 같으며, 2024년 1분기 임금 수령 통지서를 위장하고 있다. 본문에는 임금 보조금을 수령하기 위해서는 휴대폰을 이용하여 QR 코드를 스캔하도록 유도하는 문구가 포함되어 있다. 또한, 공격자는 발신자 메일 주소를 “ahnlab.com” 으로 위장하였는데 메일 헤더를 통해 실제 발신자 메일 주소를 확인할 수 있다. 일반적으로…
Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자 Posted By Sanseo , 2024년 1월 22일 AhnLab SEcurity intelligence Center(ASEC)은 최근 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 설치하는 새로운 활동을 확인하였다. 이번에 확인된 공격 사례는 기존 사례들과 유사하게 MS-SQL 서버를 대상으로 하며 악성코드 설치 과정에서 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티 악용했다는 점이 특징이다. ASEC에서는 2024년 1월 초 BCP를 활용해 Mimic 랜섬웨어를 설치하는 공격 사례를 최초로 확인하였으며, 2024년 1월 중순에는 동일한 방식의 공격 사례들에서 Mimic 랜섬웨어 대신 Trigona 랜섬웨어가 설치된 것을 확인하였다. Mimic 랜섬웨어의 랜섬노트에서 사용한 공격자의 이메일 주소는 다른 공격 사례들에서 확인되지 않았지만 이후 확인된 Trigona…
게임핵을 통해 설치되는 XMRig 코인마이너 Posted By kwonxx , 2024년 1월 19일 AhnLab SEcurity intelligence Center(ASEC)은 최근 게임핵을 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이와 같은 과정은 과거에 소개한 웹하드 플랫폼을 활용하여 XMRig 코인마이너를 유포하는 방식과 유사하다. [1] [2] 1. 유포 경로 코인마이너가 유포된 경로는 유명 게임들의 게임핵을 배포하는 사이트로 확인되었으며, 해당 사이트에는 다수의 유명 게임핵을 위장한 압축파일이 업로드 되어 있다. 또한, 브라우저와 백신에 의하여 다운로드가 차단되는 것을 방지하기 위하여 사이트에 브라우저의 다운로드 차단과 백신을 종료하는 방법을 페이지에 명시함으로써 악성코드 설치와 실행을 유도한다. 실제 게임 커뮤니티에서 해당 프로그램을 찾아보면 악성코드가 포함되어 있다는…
국내 IT 기업을 사칭하여 유포되는 VenomRAT(AsyncRAT) Posted By yeeun , 2024년 1월 18일 AhnLab SEcurity intelligence Center(ASEC)은 AsyncRAT(VenomRAT)을 다운로드하는 바로 가기 파일(.lnk)을 확인하였다. LNK 파일은 정상 워드 문서로 위장하기 위해 ‘설문조사.docx.lnk’ 파일명으로 정상 텍스트 문서와 함께 압축 파일로 유포되었다. 무엇보다 공격 과정에서 사용된 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 각별한 주의가 필요하다. 악성코드의 전반적인 동작 과정은 다음과 같다. 압축 파일은 사용자의 열람을 유도하기 위해 ‘설문조사’로 위장하였으며 압축 파일 내부에는 텍스트 문서와 악성 LNK 파일이 포함되어 있다. 텍스트 문서 내부에는 악성 LNK 파일의 실행을 유도하는 문구가 작성되어 있다. LNK 파일에는 악성 명령어가…
Autoit을 사용한 Zephyr 코인 마이너 악성코드 유포 Posted By ov5925 , 2024년 1월 18일 AhnLab SEcurity intelligence Center(ASEC) 은 최근 Zephyr 코인 마이너가 유포되는 것을 확인했다. 해당 파일은 Autoit으로 제작되어있으며, 코인마이너가 포함된 압축파일 형태로 유포되고 있다. 유포되는 파일은 “WINDOWS_PY_M3U_EXPLOIT_2024.7z” 이름으로 유포되고 있으며, 압축 해제 시 여러 스크립트와 실행파일이 생성된다. 그 중 “ComboIptvExploit.exe” 파일은 NSIS(Nullsoft Scriptable Install System) 설치파일이며 내부에는 두 개의 자바스크립트 파일이 존재한다. 해당 파일을 실행하면 %temp% 경로에 “Explorer.js” , “internet.js” 파일을 생성하고, 두 자바스크립트 파일은 wscript.exe를 통해 실행된다. 두 자바스크립트 파일 중 “internet.js” 파일은 내부에 BASE64 인코딩된 문자열을 디코딩하여 실행파일을 생성한다. 이…
