블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포
블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다.
해외 직구 시즌을 맞아 ‘Emirates Post’ 사칭 메일 유포 중
ASEC 분석팀은 다양한 기업을 사칭한 피싱 사이트들을 소개해왔다. 최근에는 해외 직구 시즌을 맞이하여 운송 회사인 Emirates Post 를 사칭한 악성 메일이 유포 중인 것을 확인하였다. 유포 중인 악성 메일은 아래와 같으며, 메일 내용에는 배송 주소에 문제가 있어 구매자에게 확인 및 반품을 요청하는 문구를 사용하였다. 해당 메일 내 “Tracking Number” 와
KIMSUKY 조직의 Operation Light Shell
1. 개요 KIMSUKY 조직은 국가를 배경으로 둔 해킹 조직으로 외교, 안보, 정치, 언론, 의료, 방산, 교육, 암호 화폐 등 다양한 분야를 대상으로 금전적인 이득, 파일 탈취를 위해 해킹을 수행하고 있으며, 이를 위해서 악성코드를 제작한 후 유포했다. 본 보고서는 KIMSUKY 조직이 제작한 후 유포한 악성코드 중 악성코드의 패턴과 특징을 근거로
매크로 시트를 이용한 악성 엑셀 국내 유포 중 (2)
ASEC 분석팀은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle / Qakbot 을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다. 매크로 시트를 이용한 악성 엑셀 국내 유포 중 – ASEC
CAPTCHA 화면이 있는 피싱 PDF 파일 대량 유포 중
올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분
대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인
ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다. 최근 확인된 파일명은 아래와 같다. 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인) 질의서-12월 방송.doc (10/28
기업 타겟 Invoice 위장 엑셀 문서 유포
ASEC 분석팀은 최근 Invoice로 위장한 악성 엑셀 문서를 확인하였다. 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 아래는 국내에 유포중인 악성 메일이다. 그림 1. 메일 화면 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 아래와 같이 특정 이미지가 포함되어 있어 사용자의 클릭을 유도한다. 그림 2. 엑셀
디스코드를 통해 유포되는 마이너 악성코드
ASEC 분석팀에서는 국내에서 유포 중인 악성코드들을 모니터링하던 중 디스코드 메신저를 통해 마이너 악성코드가 유포 중인 것을 확인하였다. 디스코드는 과거부터 국내 사용자를 대상으로 하는 악성코드 유포에 다양한 방식으로 사용되고 있으며 아래와 같은 ASEC 블로그에서도 다룬바 있다. 디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드 디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드
특정 항공사 자소서로 위장한 RTF 악성코드
ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다. 유포 파일명 : ****항공사 자소서_.rtf 해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용
웹하드를 통해 유포 중인 악성코드 (10/8일자)
ASEC 분석팀에서는 국내 악성코드들의 유포지를 모니터링하고 있으며, 최근에는 UDP Rat 악성코드와 이를 유포하는데 사용되는 웹하드 게시글을 소개한 바 있다. 공격자로 추정되는 업로더는 아래의 블로그가 공개된 이후에도 또 다른 웹하드를 이용해 유사한 악성코드들을 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다. – 웹하드를 통해 유포 중인 UDP Rat 악성코드 [그림
