악성코드 정보

비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격

ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이 비트코인을 무료로 받을 수 있다는 내용과 단축 URL이 링크 되어있다. PDF 파일에 존재하는 URL 링크는 세 개이며, 셋 중 어느 것을 클릭해도 동일한 주소로 접속하게 된다. 현재는 단축 URL과 최종 접속 URL 모두 존재하지 않는 페이지로 확인되지만,…

메일서버 관리자 위장한 기업대상 피싱메일 유포

ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다.  피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되기 전에 메시지를 검토해라”는 내용을 담고 있다. 피싱 사이트는 아래와 같이 특정…

ASEC 주간 악성코드 통계 ( 20210412 ~ 20210418 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 12일 월요일부터 2021년 4월 18일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 78.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 13.2%, Coin Miner가 5.6%, 다운로더가 2.6%, 랜섬웨어가 0.3% 로 집계되었다. Top 1 –  AgentTesla AgentTesla는 36.7%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한…

견적서 요청 피싱메일로 위장한 Lokibot 악성코드

ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다. 이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이 특징이라고 할 수 있다. 메일 본문의 내용은 매우 간단하지만 관련 업무를 수행하고 있다면 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 의심 없이 첨부 파일을 실행해 볼 가능성이 존재한다. 첨부파일을…

오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포

MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기가 어렵다. 아래는 문서에 삽입된 악성 URL이다. 문서 오픈시 자동으로 악성 URL에 접속을 시도한다. 접속 이후엔 RTF 취약점 파일 바이너리를 현재 오픈한 문서에…