악성코드 정보

S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로 압축 해제가 불가능하도록 트릭을 적용하였다. CryptBot 악성코드는 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한 악성 사이트에서 유포되며 자세한 내용은 아래 블로그를 참고하길 바란다. 기존 CryptBot 악성코드는 7z SFX 방식으로 유포되었다….

ASEC 주간 악성코드 통계 ( 20210802 ~ 20210808 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 8월 2일 월요일부터 2021년 8월 8일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.4%, 다운로더 11.3%, 코인마이너 7.6%, 랜섬웨어 4.3%, Ddos 0.6% 로 집계되었다. Top 1 – RedLine RedLine 악성코드가 12.8%로 지난주에 이어 1위를 차지했다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C…

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고…

JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?

JS 파일 형태로 유포되는 BlueCrab(Sodinokibi, REvil) 랜섬웨어가 2021.07.13부터 유포가 중지되었다. 그간 일정 기간 유포를 중단한 이후 변형을 만들어 유포하던 이력이 다수 존재하지만 이처럼 장기간 동안 유포를 중단한 사례는 없었다. BlueCrab 랜섬웨어는 파일 다운로드를 위장한 포럼 페이지를 통해 유포되며, JS 파일을 다운로드받아 실행 시 C2를 통해 다운로드되는 스크립트가 실행되며 랜섬웨어에 감염되는 구조이다. 국내 사용자를 타겟으로 하며 자사 AV 제품을 겨냥한 꾸준한 변형을 만들어왔기 때문에 중점 모니터링 대상이었다. 이에 ASEC 분석팀에서는 자동화된 모니터링 시스템을 구축하여 변형 발생 시 빠르게 대응하고 있으며 본…

외화송금 통지를 가장한 NanoCore RAT 유포중!

ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은 특정 캐피탈 회사에서 실제 정상적으로 사용하는 그림을 그대로 가져온 것으로 추정된다. 첨부파일을 받아 확인해보면 R03 확장자를 가진 RAR 계열 파일로 확인이 되며, 압축 프로그램을 이용하여 압축을 풀면 아래 사진과 같이…