Magniber 랜섬웨어의 유포 중단 (2/5 이후)
안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트
Cryptbot 과 동일한 방식으로 PseudoManuscrypt 국내 유포 중
ASEC 분석팀은 지난 2021년 5월 경부터 현재까지 PseudoManuscrypt 악성코드가 국내 유포 중인 정황을 포착하였다. PseudoManuscrypt 악성코드는 ASEC 블로그에 소개해왔던 Cryptbot 악성코드와 유사한 형태의 설치 파일로 위장하여 유포되고 있으며 파일의 형태 뿐만 아니라, 검색 엔진에 Crack, Keygen 등 상용 소프트웨어 관련 불법 프로그램에 대해 검색할 경우 상위에 노출되는 악성 사이트를 통해
엑셀 문서를 통해 Emotet 악성코드 국내 유포 중
ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축
악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)
ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx [그림 1] 메일 제목 / 본문 워드문서를 실행하면 아래와 같은 내용이 사용자에게
Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.
다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일
작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다. 국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG 최근 악성코드 유포 키워드 중 많은 비중을 차지
마스토돈 SNS를 악용하는 Vidar 악성코드
ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에
엑셀 파일을 통해 유포 중인 Emotet 악성코드
ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다. 그림 1. 악성 엑셀 파일1 그림 2. 악성 엑셀 파일2 엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠
웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)
ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는
국내 유명 포털사이트 위장한 정보유출 악성코드
ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일
