PDF 내 첨부된 파일을 안전한 파일로 속이기 위한 수법 Posted on 2022년 5월 19일 ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다. Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다. 이메일에 첨부된…
ASEC 주간 악성코드 통계 ( 20220509 ~ 20220515 ) Posted on 2022년 5월 19일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 9일 월요일부터 5월15일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 79.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.7%, 뱅킹 1.6%, 랜섬웨어 1.6%, 다운로더 0.8% 로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla 가 46.8%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출…
다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도 Posted on 2022년 5월 18일 ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다. 현재 확인된 파일은 다음과 같다. 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe 3.보도자료 (**디자인진흥원,…
다양한 파일을 통해 유포 중인 Emotet 악성코드 Posted on 2022년 5월 12일 ASEC 분석팀은 최근 Emotet 악성코드가 링크 파일(.lnk)을 통해 유포되고 있음을 확인하였다. Emotet 악성코드의 경우 과거부터 꾸준히 유포되고 있으며 지난 4월부터 Emotet 다운로더가 엑셀 파일 뿐만 아니라 링크 파일(.lnk)도 사용하는 것으로 확인되었다. 확보한 EML 파일들은 모두 사용자 메일에 대한 회신인 것처럼 속여 악성 코드를 유포하는 공통점이 존재한다. [그림1] 메일에 첨부된 엑셀 파일의 경우 다음 블로그에서 공유한 매크로 시트를 활용한 유형과 동일한 방식을 사용한다. 엑셀 파일을 통해 유포 중인 Emotet 악성코드 엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 다운로드 URL은 다음과…
Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped) Posted on 2022년 5월 12일 작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무…
