북한 4.25 열병식 관련 내용의 악성 워드 문서 유포
ASEC 분석팀은 금일(04/29) 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인하였다. 유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드하였다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도
대북 관련 파일명을 지닌 악성 워드 문서 유포 중
ASEC 분석팀은 대북 관련 파일명으로 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다. 220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26)
INITECH 프로세스에 인젝션돼 동작하는 라자루스 공격 그룹의 신종 악성코드
안랩 ASEC 분석팀은 2022년 1분기에 방산 업체를 포함한 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염되고 있는 정황을 파악하고, 이를 심각하게 판단해 모니터링 하고 있다. 피해 업체들에서는 INITECH사 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되는 것이 확인됐다. 피해 시스템에서 inisafecrosswebexsvc.exe에 대해 다음과 같은 내용을 우선 확인했다. inisafecrosswebexsvc.exe 파일은 INITECH사의
정상 엑셀파일 감염 기능의 Virus/XLS.Xanpei 바이러스 주의
최근 ASEC 분석팀은 엑셀문서 열람 시 바이러스 형태로 전파되는 악성코드들이 지속적으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 정상 엑셀파일을 감염시키는 바이러스 기능뿐만 아니라, Downloader, DNS Spoofing 등의 추가적인 악성 행위를 수행하고 있어 사용자의 큰 주의가 필요하다. 해당 악성코드들은 공통적으로 엑셀파일 내부에 포함되어 있는 VBA(Visual Basic for Applications) 코드를 통해 바이러스
다양한 공격자들에 의해 사용되는 SystemBC 악성코드
SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서
코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포
ASEC 분석팀은 2주 전, 윈도우 도움말 파일(*.chm) 형식의 악성코드에 대해 소개하였다. 금일 추가로 확인된 악성 chm 파일은 코로나 확진 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있다. 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보인다. 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 – ASEC BLOG ASEC
MS Media Player 이용한 악성 워드문서 (안랩사칭)
ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성
기업 사용자 타겟의 악성 워드문서 유포 중
ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다.
PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky)
ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때,
오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT 악성코드
ASEC 분석팀에서는 이전 BitRAT 악성코드가 윈도우 OS 정품 인증 도구를 위장하여 유포중인 상황을 블로그에 아래글로 게시 하였다. 최근 해당 BitRAT 악성코드는 유포 파일을 변경하여 오피스 설치 프로그램을 통해 피해자들을 유인 하고 있다. 윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드 – ASEC BLOG ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해
