지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)
트렌드 악성코드

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)

ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1) – ASEC BLOG ASEC 분석팀에서는 악성 매크로 파일에

  • 9월 06 2021
메타스플로잇 미터프리터를 이용한 공격 사례
악성코드

메타스플로잇 미터프리터를 이용한 공격 사례

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용

  • 9월 02 2021
Excel 4.0 매크로를 통해 유포되는 Dridex
악성코드

Excel 4.0 매크로를 통해 유포되는 Dridex

최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0

  • 8월 25 2021
‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서
악성코드

‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일마지막으로

  • 8월 24 2021
지속적으로 유포되는 파워포인트 유형의 악성 첨부파일
악성코드

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !! – ASEC BLOG ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을

  • 8월 17 2021
S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화
악성코드

S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로

  • 8월 17 2021
JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?
악성코드

JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?

JS 파일 형태로 유포되는 BlueCrab(Sodinokibi, REvil) 랜섬웨어가 2021.07.13부터 유포가 중지되었다. 그간 일정 기간 유포를 중단한 이후 변형을 만들어 유포하던 이력이 다수 존재하지만 이처럼 장기간 동안 유포를 중단한 사례는 없었다. BlueCrab 랜섬웨어는 파일 다운로드를 위장한 포럼 페이지를 통해 유포되며, JS 파일을 다운로드받아 실행 시 C2를 통해 다운로드되는 스크립트가 실행되며 랜섬웨어에 감염되는

  • 8월 05 2021
외화송금 통지를 가장한 NanoCore RAT 유포중!
악성코드

외화송금 통지를 가장한 NanoCore RAT 유포중!

ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은

  • 8월 05 2021
S/W 다운로드 위장, 다양한 종류의 악성코드 유포
악성코드

S/W 다운로드 위장, 다양한 종류의 악성코드 유포

ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 CryptBot 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드 – ASEC BLOG ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다.

  • 8월 04 2021
‘BIO 양식’ 제목의 워드문서 유포 중
악성코드

‘BIO 양식’ 제목의 워드문서 유포 중

ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다. 최근 유포가 확인된 파일 역시 워드 파일 내부의 External

  • 8월 03 2021