ASEC 주간 악성코드 통계 ( 20200601 ~ 20200607 )
트렌드 악성코드

ASEC 주간 악성코드 통계 ( 20200601 ~ 20200607 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 1일 월요일부터 2020년 6월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 56.6%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 16.4%, RAT (Remote Administration Tool) 악성코드가 12.9%를 차지하였다. 뱅킹과

  • 6월 09 2020
[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러
악성코드

[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러

ASEC 분석팀은 최근 Vidar 인포스틸러 악성코드가 KMSAuto, KMSPico 인증 툴을 위장한 악성코드들을 통해 유포 중인 것을 확인하였다. 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가

  • 6월 05 2020
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중
APT 악성코드

국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중

ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다.  ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다. 악성 한글문서(.hwp) 주제별 연관성 분석 ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해

  • 6월 04 2020
드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중
APT 악성코드

드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중

ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다.  [그림1] 문서 내용 [그림2] 문서 정보 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘

  • 6월 03 2020
ASEC 주간 악성코드 통계 ( 20200525 ~ 20200531 )
트렌드 악성코드

ASEC 주간 악성코드 통계 ( 20200525 ~ 20200531 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 5월 25일 월요일부터 2020년 5월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 37.4%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 36.1%, RAT (Remote Administration Tool) 악성코드가 14.6%를 차지하였다. 뱅킹과 랜섬웨어 악성코드는 8.2%, 2.3%로 그 뒤를 따랐다. Top 1 –  GuLoader 34.7%를 차지하는 GuLoader 는 추가

  • 6월 02 2020
악성 한글문서(.hwp) 주제별 연관성 분석
APT

악성 한글문서(.hwp) 주제별 연관성 분석

ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해 자세히 설명한다. 악성 한글문서(.hwp) 유포 파일명 변화과정 추적 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어

  • 5월 30 2020
악성 한글문서(.hwp) 유포 파일명 변화과정 추적
APT 악성코드

악성 한글문서(.hwp) 유포 파일명 변화과정 추적

그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 ‘한글 문서를 통해 의심스러운 행위가 발생’했을 시 수집되는 자사 모니터링 시스템을

  • 5월 27 2020
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)
APT 악성코드

부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)

지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. [그림1] – 메일 내용 [그림2]

  • 5월 25 2020
코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자)
악성코드

코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자)

 ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다.  랜섬노트 (README_LOCK.TXT) 해당 랜섬웨어는 암호화전 프로세스 및 서비스

  • 5월 23 2020
Nemty Special Edition 버전 유포중 (복원가능)
악성코드

Nemty Special Edition 버전 유포중 (복원가능)

 ASEC 분석팀은 5월18일 Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, ‘이력서’ 문구 외 ‘이미지 무단 사용’ 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다. [유포 파일명] 성지영이력서이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 이재희이력서지원서_200518(뽑아주시면

  • 5월 21 2020