악성코드 정보

ASEC 주간 악성코드 통계 ( 20220530 ~ 20220605 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 30일 월요일부터 6월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 89.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 8.5%, 랜섬웨어, 다운로더, 뱅킹 악성코드가 각각 0.5%로 집계되었다. Top 1 – Formbook 이번주에는 Formbook 악성코드가 33.7%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. BL COPY- CIF LCL SEA…

‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…

CHM 악성코드에서 확인된 안티 샌드박스 및 기업 타겟 공격

ASEC 분석팀은 최근 국내 유포 중인 CHM 악성코드에서 안티 샌드박스 기법이 적용된 유형과 기업을 타겟으로 하는 유형이 존재하는 것을 확인하였다. 두 유형 모두 지난 3월과 5월, 아래 ASEC 블로그를 통해 소개한 유형이다. 먼저, 안티 샌드박스 기법이 적용된 CHM 유형은 악성 VBE 파일을 드롭하기 전에 사용자 PC 환경을 검사하게 된다. 악성 CHM 파일 내부에 포함된 HTML 코드는 아래와 같으며, HTML 은 정상 프로그램(EXE)과 악성 DLL 파일을 생성 후 실행하는 기능을 수행한다. DLL 하이재킹 기법을 통해 생성된 악성 DLL 이 로드되며, 해당…

주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190)

Follina라 지칭되는 신규 취약점 CVE-2022-30190이 공개되었다. MS에 따르면 해당 취약점은 Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 발생한다. 해당 취약점 발생 시 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있으며 추가 프로그램을 설치하거나 데이터 확인 및 변경 또는 삭제가 가능하다. 1. 취약점 악성코드 예시 이 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였다. (현재는 해당 URL이 활성화되어 있지 않아 추가 동작은…

인터넷 공유기 설치파일 위장한 AppleSeed 유포

ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다. 파일명 : firmware upgrade installer.exe EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이…