악성코드 정보

‘2021년 국방부 업무보고 수정’ 문서로 위장한 악성코드 유포

1월 24일 ASEC에서는 ‘2021년 국방부 업무보고 수정’문서로 위장하여 악성코드가 함께 유포된 정황을 확인하였다. 해당 악성코드의 확장자는 아래와 같이 *.pif로 만들어져 유포되었으며 이는 EXE 확장자와 같은 실행 가능한 파일이다. 파일 실행 시 아래의 그림과 같이 현재 국방부 홈페이지에서 제공하는 정상 PDF 문서의 내용과 동일한 파일이 사용자에게 보여진다. 하지만, 정상 PDF 문서파일과 함께 (사용자 모르게) 악성 파일(DLL형식)이 생성 및 실행되는 구조를 갖는다. 유포 파일 명 2021년 국방부 업무보고 수정.pif 생성 파일 %원본파일 경로%\2021년 국방부 업무보고 수정.pdf (정상문서) C:\ProgramData\Intel\Driver\driver.cfg (악성 DLL 파일) 생성된…

ASEC 주간 악성코드 통계 ( 20210125 ~ 20210131 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 1월 25일 월요일부터 2021년 1월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 69.3%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 12.1%, RAT (Remote Administration Tool) 악성코드가 10.2%, 다운로더는 7.4%로 집계되었다. 랜섬웨어는 0.9%를 기록했으며 뱅킹 악성코드는 수량이 줄어들어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 26.0%를 차지하며 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은…

파일공유 사이트(WeTransfer) 를 위장한 피싱메일 유포

최근 파일공유 사이트 WeTransfer를 위장하여 사용자의 개인정보를 유출하는 피싱메일이 유포되고 있다. 2월 2일 ASEC 분석팀이 수집한 이메일에 의하면, 공격자는 본문에 악성 링크가 포함된 메일을 수신자 맞춤형으로 개별 발송하였다. 본문 내용은 WeTransfer를 통해 새로운 파일이 도착했다는 내용이다. 링크를 클릭할 시 공격자가 미리 준비해둔 피싱 웹페이지로 접속하게 된다. 악성 이메일은 한글 또는 영문 형태가 모두 확인되었다. 사용자의 주의가 필요하다. 특징적으로 공격자는 피싱 웹페이지를 구축하기 위해 ‘appdomain.cloud’ 이라는 IBM 클라우드 서비스를 이용하였다. 최근 공격자는 클라우드 기반으로 자유롭게 도메인을 구축할 수 있는 서비스를 악용하여…

BlueCrab 랜섬웨어, 기업 환경에서는 CobaltStrike 해킹툴 설치

ASEC 분석팀은 JS 형태로 유포되는 BlueCrab 랜섬웨어(=Sodinokibi, REvil) 감염 과정 중 특정 조건에서 CobaltStrike 해킹 툴을 유포하는 것을 확인했다. CobaltStrike 해킹툴은 원래 합법적인 목적으로 모의 해킹 테스트를 위해 제한적으로 사용된 툴이었으나, 최근 소스코드 유출 이후에 악성코드에서도 활발하게 사용 중이다. 최근 확인된 BlueCrab 랜섬웨어 유포 JS 파일에서는 기업 AD(Active Directory) 환경을 체크하여 기업 사용자의 경우, 랜섬웨어가 아닌 CobaltStrike 해킹툴이 설치되는 것이 확인되어 각별한 주의가 요구된다. BlueCrab 랜섬웨어는 가짜 포럼 페이지를 통해 다운로드되는 JS 파일로 유포되는 랜섬웨어로, 관련 내용으로 다음과 같이 여러…

지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어

BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다. ASEC 분석팀은 해당 랜섬웨어와 관련된 다양한 포스팅을 게시하고 있다. 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 BlueCrab 랜섬웨어 유포 사이트 공개 (2) BlueCrab 랜섬웨어는 AV를 우회하기 위해 활발하게 변형을 만들어 내는데,…