악성코드 정보

대북 관련 한글문서(HWP) 유포 중

ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3…

“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드

ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을 통해 유포되어 로더를 거쳐서 실질적인 메인 모듈을 다운로드받아 악성행위를 수행한다. 이번에 확인된 Dridex 악성코드 유포방식은 다음과 같은 흐름과 특징을 갖는다. 불특정다수 일반 사용자를 대상으로 피싱메일이 유포됨 백신탐지 우회 목적으로 문서…

V3 네트워크 탐지 기능에 의한 Log4j 취약점(CVE-2021-44228) 탐지

지난 2021년 12월 10일 Apache Log4j 취약점(CVE-2021-44228)이 공개됨에 따라 Github에 다양한 POC가 업로드되었다. Log4j 취약점은 공격자가 로그 메시지에 악성 클래스 주소를 삽입하여 웹서버에 공격자가 제작한 악성 클래스를 실행 시킬 수 있어 파급력이 크다. 안랩에서는 Log4j 취약점 공격을 탐지하기 위해 네트워크 차단 시그니처를 업데이트 하였으며 아래에서 Log4j 취약점 설명 및 V3 제품 탐지 영상을 공개한다. 1. 취약점 대상 및 버전 다음의 조건들의 제품들은 해당 취약점의 영향을 받는다. Apache Log4j 2.0-beta9 ~ 2.12.1 및 2.13.0 ~ 2.15.0 버전 Apache Log4j 1.2.x의 모든…

ASEC 주간 악성코드 통계 ( 20211213 ~ 20211219 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 13일 월요일부터 2021년 12월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.0%, 다운로더가 7.5%, 코인마이너가 4.0%, 뱅킹 악성코드와 랜섬웨어가 1.3%, 백도어가 0.4%로 집계되었다. Top 1 – Formbook Formbook은 인포스틸러 악성코드는 25.1%로 1위에 올랐다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. da*ha co.,…

Kimsuky 그룹의 APT 공격사례 (PebbleDash)

최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다. PebbleDash 백도어 공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축 파일을 다운로드 받고 실행하게 유도하였다. 첨부된 zip 압축 파일의 압축을 해제하면 다음과 같이 “준공계.pif” 파일을 확인할 수 있다. 이 악성코드는 실제 악성 행위를 담당하는 PebbleDash 백도어 악성코드를 드랍하는 드로퍼 악성코드이다….