Outlook.exe 를 이용한 악성 PPT 매크로 유포 중
최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게
‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱
최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다. 스팸 메일로 전파되는 피싱 악성코드 동향 – ASEC BLOG 안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을
웹하드를 통해 유포 중인 UDP Rat 악성코드
ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 UDP Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다. 일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여
해외 보안기업, BlueCrab 랜섬웨어 복구 툴 공개
해외 보안기업 BitDefender에서 BlueCrab 랜섬웨어 (Sodinokibi, REVil) 복호화 툴을 공개하였다. *국내 유포 샘플의 경우 추가 작업을 선행해야 정상적으로 복호화가 가능하다. 랜섬노트 파일명 형식을 원본 BlueCrab 랜섬웨어와 동일하게 변경해야 하는데 자세한 방법 및 예시는 본문 하단 [그림 5]와 같다. 그림1. 랜섬웨어 복구 툴 배포 페이지 URL: https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/ 해당 기업에 따르면 법
Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)
ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다. VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다. Kimsuky 그룹은 최초
매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)
매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된
이력서로 위장한 Makop 랜섬웨어 국내 유포 중
ASEC 분석팀은 최근 이력서로 위장한 Makop 랜섬웨어가 국내 사용자를 대상으로 유포 중임을 확인하였다. Makop 랜섬웨어는 작년부터 꾸준하게 변형되어 유포되던 악성코드로 ASEC 블로그를 통해 해당 내용을 소개해왔으며, 이전과 동일하게 NSIS (Nullsoft Scriptable Install System) 형태이다. 이력서로 위장한 방식은 기업들의 채용 기간에 맞춰 채용 담당자를 타겟으로 유포하는 것으로 보인다. 지난 상반기 채용
스팸 메일로 전파되는 피싱 악성코드 동향
안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다.
kakaoTest.exe 파일명의 Kimsuky 제작 추정 악성코드
최근 ASEC 분석팀은 워드 문서를 이용하여 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에는 이전 게시글의 Kimsuky 그룹이 제작 유포했던 ‘제헌절 국제학술포럼.doc’, ‘제28차 남북관계전문가토론회***.doc’ 등의 문서 파일로부터 생성된 악성코드와 동일한 코드를 사용한 악성 파일을 추가 확인하여 공유하고자 한다. 해당 파일은 테스트 단계의 파일로 보이며 Kimsuky
비트코인 입금을 유도하는 스캠 메일 유포
ASEC 분석팀은 비트코인 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 비트코인 입금과 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 스캠 사이트로 연결되는 것이 특징이다. 스캠 메일은 아래와 같이 Admin 관리자로 위장하여 Bitcoin Payment이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “고객이 요청하신 대로 비트코인 포트폴리오
