악성코드 정보

Microsoft 위장 피싱 공격 증가

최근 ASEC 분석팀은 Microsoft 로그인 페이지를 위장한 피싱메일 유입 정황을 포착하였다. 수집된 피싱메일 샘플은 아래의 그림과 같이 해당 기업의 보이스 메시지를 위장하여, playback 파일열람 첨부파일의 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일을 클릭할 경우 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 또 다른 샘플은 스캐너를 통해 전송된 파일로 위장하여, 첨부파일 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일 클릭 시, 마찬가지로 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 두 샘플 모두 첨부파일 클릭 시, 각각 [그림 3], [그림 4]와 같이 Microsoft…

취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다. 공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로 로그인한 후 xp_cmdshell과 같은 명령을 이용해 악성코드를 설치한다. 이에 따라 이전 블로그에서는 MS-SQL 서버 프로세스 즉 sqlservr.exe에 의해 설치되는 코발트 스트라이크 악성코드를 다루었다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로…

ASEC 주간 악성코드 통계 (20220207 ~ 20220213)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 7일 월요일부터 2월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 62.3%로 1위를 차지하였으며, 그 다음으로는 뱅킹 악성코드가 18.6%, RAT (Remote Administration Tool) 악성코드 13.6%, 다운로더 3.4%, 랜섬웨어 1.3% 로 집계되었다. Top 1 –  AgentTesla AgentTesla가 30.9%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시…

대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)

ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다. 3월 월간 카이마 원고_요구사항.doc 공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다. 실행된 VBS 코드가 공격자 C&C 서버와 통신하는…

취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크

ASEC 분석팀은 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격(Brute Forcing) 또는 사전 공격(Dictionary Attack)이 있다. 일반적으로 공격자 또는 악성코드는 1433번 포트에 대한 스캐닝 과정을 통해 외부에 오픈된 MS-SQL 서버들을 확인한다. 이후 관리자 계정 즉 “sa” 계정에 대해 무차별 대입 공격이나 사전…