악성코드 정보

AnyDesk 원격 툴을 악용하는 공격 사례 (코발트스트라이크, 미터프리터)

윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격자에 의해 설치되는 악성코드들로는 코인 마이너나 랜섬웨어 그리고 백도어 악성코드 등 목적에 맞게 다양한 유형들이 존재한다. 백도어 유형의 악성코드들 중에는 Remcos RAT, Gh0st RAT과 같은 원격 제어 악성코드 유형들이 대부분을 차지하지만, 코발트 스트라이크나 미터프리터와 같이 기업의 내부 시스템 장악을 위해 사용되는 침투 테스트 도구들도 함께 확인된다. 여기에서 다룰 공격 사례에서 공격자는 취약한 MS-SQL 서버를 대상으로 코발트…

ASEC 주간 악성코드 통계 ( 20220613 ~ 20220619 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 13일 월요일부터 6월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.8%로 1위를 차지하였으며, 그 다음으로는 백도어가 17.8%, 다운로더 8.9%, 뱅킹 악성코드7.5%, 랜섬웨어 1.9%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 29.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…

신종 정보탈취 악성코드, 크랙 위장 유포 중

ASEC 분석팀은 S/W 크랙 및 인스톨러로 위장하여 유포되는 다양한 악성코드를 소개한 바 있다. CryptBot, RedLine, Vidar 악성코드가 대표적이다. 최근 단일 악성코드 형태의 RedLine 악성코드가 자취를 감추고(드로퍼 유형으로는 유포 중) 신종 정보 탈취 악성코드가 활발히 유포 중이다. 5월 20일 경부터 본격적으로 유포되기 시작하였으며, 해외에서는 해당 악성코드를 “Recordbreaker Stealer”로 분류하고 있으며, Raccoon Stealer의 새로운 버전이라는 분석도 존재한다. 검색엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색하여 유포 페이지로 접속한 후 압축 파일을 다운로드, 해제할 경우 악성코드가 생성된다. 해당 악성코드는 주로 대용량의 패딩 영역을…

저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포

ASEC 분석팀은 이전에 소개한 방식과 동일한 저작권법 위반의 내용으로 사칭한 피싱 메일을 통해 LockBit 랜섬웨어가 다시 유포되고 있음을 확인하였다. 지난 2월 유포되었던 피싱 메일(아래 링크 참고) 본문과 유사한 내용으로 작성되었으며 기존처럼 첨부된 파일명에 압축 파일의 비밀번호를 포함하여 유포하였다. 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 [그림 2]와 같이 피싱 메일에 첨부된 압축 파일 내부에 추가 압축 파일이 존재하는 것을 확인할 수 있다. 내부의 압축 파일을 풀면, [그림 3]과 같이 PDF 파일 아이콘을 위장한 실행 파일이 존재한다. 해당 파일은…

윈도우 MSDT 0-day 취약점 ‘DogWalk’ V3 탐지

6월 8일 해커뉴스(thehackernews.com)에 의해 DogWalk 이라는 새로운 윈도우 제로데이 취약점이 공개되었다. MS 오피스 문서 대상으로 한 Follina 취약점과 동일하게 MSDT(Microsoft Support Diagnostic Tool)에서 발생하는 취약점으로 압축형식의 “.diagcab” 확장자 파일을 실행 시, 윈도우 시작 폴더에 악성파일이 복사될 수 있는 위험성이 확인되었다. 악성파일이 동작하기 위해서는 재부팅이 필요하다는 제약사항이 있지만 MS 패치가 공개되지 않은 상황에서 공격에 노출될 수 있는 위험한 상황이다. (참고) https://thehackernews.com/2022/06/researchers-warn-of-unpatched-dogwalk.html 안랩 분석팀에서는 해당 취약점 공격에 대해 V3 행위탐지 기능을 사용 시, 사전 탐지가 가능함을 소개한다. 웹 브라우저나 아웃룩을 통해 제공받은…