악성코드 정보

국내 포럼 자료실에서 Nitol 악성코드 유포 중

ASEC 분석팀은 국내 한 커뮤니티 포럼 자료실에서 악성코드가 유포 중인 것을 확인하였다. 공격자는 유틸리티 공유로 위장한 악성코드 유포 게시글 4개를 업로드하였다. 해당 게시글에서는 특정 유틸리티로 위장한 Nitol 악성코드를 유포한다. 관련 공격은 지난 6월부터 계속되었다. 각각의 게시글에는 유틸리티에 관한 설명과, 토렌트 파일이 첨부되어 있다. 토렌트 클라이언트를 통해 토렌트 파일을 열면 파일 다운로드가 가능하다. 공격자가 업로드한 토렌트 파일로 파일을 다운로드할 경우 유틸리티로 위장한 악성코드가 다운로드 된다. 각각의 게시물로부터 다운로드한 악성코드 파일들은 실제 유틸리티의 아이콘으로 위장하였다. 실행 시 %Appdata% 폴더에 랜덤한 파일명으로 자가…

ASEC 주간 악성코드 통계 ( 20210621 ~ 20210627 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 6월 21일 월요일부터 2021년 6월 27일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 68.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드 21.7%, DDoS 3.9%, 다운로더 3.1%, 랜섬웨어 2.2% 순으로 집계되었다. Top 1 –  AgentTesla AgentTesla는 21.2%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와…

하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중

ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다. 메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/) 해당 파일 역시 이전 ‘사례비지급 의뢰서’와 동일하게 단순히 파일을 오픈하는 것만으로는 악성 행위가 발현되지 않는다. 사용자가 문서에 텍스트를…

ASEC 주간 악성코드 통계 ( 20210614 ~ 20210620 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 6월 14일 월요일부터 2021년 6월 20일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 79.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.5%, 다운로더가 1.9%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 22.0%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버 및 사용자…

V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신 메그니베르 랜섬웨어의 탐지/차단이 가능하다. [그림 1]은 최신 매그니베르 랜섬웨어의 감염 과정이다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다. 따라서 랜섬웨어 행위를…