스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거
HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한
특정 게임 플랫폼을 악용한 Vidar 인포스틸러
ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을
구글 키워드 검색으로 유포되는 정보 유출 악성코드들
ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다. 나 몰래 악성코드가 설치된다고?! BeamWinHTTP 악성코드! – ASEC
저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어
ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 그림1. 메일 내용 첨부파일 내부에는 알집으로 압축된 파일이 존재하며,
국내 기업을 타겟으로 유포 중인 코발트 스트라이크 (2)
ASEC 분석팀은 코발트 스트라이크 해킹 툴에 의한 공격을 모니터링하고 있으며, 여기에서는 과거 다루었던 블로그 이후부터 현재까지 확인된 코발트 스트라이크 공격에 대해 정리하도록 한다. 국내 기업을 타겟으로 유포 중인 코발트 스트라이크 – ASEC BLOG 코발트 스트라이크(Cobalt Strike)는 상용 침투 테스트 도구이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한
스팸 메일로 유포되는 닷넷 다운로더 악성코드
ASEC 주간 악성코드 통계에 따르면 최근 유포되고 있는 악성코드들 다수가 인포스틸러(정보 유출형 악성코드) 및 RAT(Remote Administration Tool) 악성코드들이다. 이러한 인포스틸러 및 RAT의 상당수는 스팸 메일을 통해 유포되며, 대부분 사용자가 첨부 파일을 실행시키도록 유도하는 방식이 사용된다. 전형적인 스팸 메일 첨부 파일을 통한 유포 방식 공격자는 스팸 메일의 첨부 파일을 이용해 악성코드를
비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격
ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. [그림1] – 우크라이나 국방부를 타겟으로 한 피싱메일 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이
메일서버 관리자 위장한 기업대상 피싱메일 유포
ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다. 피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는
견적서 요청 피싱메일로 위장한 Lokibot 악성코드
ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다. 이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이
오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포
MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성
