악성코드 정보

워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…

Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황

2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다. 기존 Gold Dragon이 사용하는 인젝션 기법이 동일 (iexplore.exe, svchost.exe 등에 프로세스 할로잉 하는 행위) 자사 제품 실시간 탐지 윈도우 클래스 종료 기능 (49B46336-BA4D-4905-9824-D282F05F6576) 다음 클리너(daumcleaner.exe) 프로세스 종료 공격자는 Gold Dragon을…

ASEC 주간 악성코드 통계 ( 20220117 ~ 20220123 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 17일 월요일부터 1월 23일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 64.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.8%, 뱅킹 악성코드가 7.9%, 다운로더가 3.5%, 랜섬웨어와 코인마이너가 각각 3.0%, 1.5% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 29.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보…

다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일

작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다. 기업용 그룹웨어 로그인 페이지를 가장하여 사용자 계정정보를 유출하기 위한 파일들은 매우 흔하게 유포되어 온 피싱 유형 중 하나이며, 메일 제목,내용/첨부파일명/스크립트 코드 등에서 사소한 변형을 사용하고 있다. 국내 사용자들이 많이 이용하는 해당 그룹웨어들을 사칭하는 것은 동일하지만, 이번에는 공격자가 보다 간단한 방식을 사용하며 동일한 스크립트 파일을 수신인에 맞게 다양한 파일명으로…

마스토돈 SNS를 악용하는 Vidar 악성코드

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 탈취할 정보들에 대한 명령과 필요한 DLL들을 전달받는다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를…