악성코드 정보

저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어

ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 첨부파일 내부에는 알집으로 압축된 파일이 존재하며, 아래와 같이 총 3개의 파일이 존재한다. 이 중 이미지 원본.jpg 파일은 정상 실행파일이며, 나머지 실행 파일의 경우 동일한 파일로 랜섬웨어 악성코드이다. 해당 파일은 아래와 같이 CCleaner Installer 인 것 처럼 위장하였다. 랜섬웨어 파일…

국내 기업을 타겟으로 유포 중인 코발트 스트라이크 (2)

ASEC 분석팀은 코발트 스트라이크 해킹 툴에 의한 공격을 모니터링하고 있으며, 여기에서는 과거 다루었던 블로그 이후부터 현재까지 확인된 코발트 스트라이크 공격에 대해 정리하도록 한다. 4월 23일 확인된 공격을 보면 코발트 스트라이크 beacon이 다음과 같은 커맨드라인을 갖는 프로세스에 의해 실행되었다. 코발트 스트라이크를 이용하는 공격자들은 보통 정상 프로세스로 위장시키기 위해, 정상 프로세스에 특정 인자까지 지정한 후 실행하고 여기에 실제 백도어인 beacon을 인젝션하는 방식을 사용한다. 이는 코발트 스트라이크 해킹 툴에서 실제 지원하는 기능이다. svchost.exe -k LocalServiceNetworkRestricted 위의 beacon 프로세스가 실행되기 이전에는 다음과 같은 난독화된…

스팸 메일로 유포되는 닷넷 다운로더 악성코드

ASEC 주간 악성코드 통계에 따르면 최근 유포되고 있는 악성코드들 다수가 인포스틸러(정보 유출형 악성코드) 및 RAT(Remote Administration Tool) 악성코드들이다. 이러한 인포스틸러 및 RAT의 상당수는 스팸 메일을 통해 유포되며, 대부분 사용자가 첨부 파일을 실행시키도록 유도하는 방식이 사용된다. 공격자는 스팸 메일의 첨부 파일을 이용해 악성코드를 유포할 때 백신의 파일 진단을 우회하기 위한 목적으로 악성코드의 외형을 패커로 패킹한다. 즉 실제 악성코드는 이미 백신에 의해 탐지된다고 하더라도 패킹될 경우에는 매번 다른 형태의 외형을 가지게 되며, 이에 따라 파일 진단을 우회할 수 있다. 이렇게 파일 진단을…

비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격

ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이 비트코인을 무료로 받을 수 있다는 내용과 단축 URL이 링크 되어있다. PDF 파일에 존재하는 URL 링크는 세 개이며, 셋 중 어느 것을 클릭해도 동일한 주소로 접속하게 된다. 현재는 단축 URL과 최종 접속 URL 모두 존재하지 않는 페이지로 확인되지만,…

메일서버 관리자 위장한 기업대상 피싱메일 유포

ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다.  피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되기 전에 메시지를 검토해라”는 내용을 담고 있다. 피싱 사이트는 아래와 같이 특정…