코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중
지난 5월 8일 해당 블로그에 게시 한 것과 같이 메일을 통해 국내 게임업체 인증서를 도용한 악성코드가 유포 중임을 공유하였다. 자사 ASEC에서는 해당 류의 악성코드가 조금 변형 된 형태로 여전히 다양한 제목으로 유포 중임을 확인하여 이에 대해 추가 내용을 알리고자 한다. 지난 블로그 : https://asec.ahnlab.com/1318 국내 대형 게임업체 인증서 도용 악성코드, 문서
코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker)
ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. 동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램.. https://asec.ahnlab.com/1276 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 사용자의 지갑 주소가 악성코드 제작자의 지갑 주소로 변경된다. 복사 후 붙여넣기 할 때 변경되는 코인 지갑 주소 위에서는 비트코인과 모네로의 결과만 존재하지만, 이더리움,
Lazarus 그룹의 방위산업체 대상 공격 증가
Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은
국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포
ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한다. [주의] 상여금 발급 청구서로 위장한 워드 문서파일 ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠
![[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포](https://asec.ahnlab.com/wp-content/uploads/2020/09/dollar-1.png)
[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포
ASEC 분석팀은 5월 6일 이력서와 공정거래위원회를 사칭한 악성코드가 다수 유포됨을 확인하였다. 해당 악성코드는 첨부파일 형태로 유포되는 악성코드이며 하나의 압축파일에 파일명은 유사하지만, 성격이 다른 악성코드들이 포함되어 함께 유포되었다. [그림 1] 이력서 사칭 이메일 악성코드 [그림 2] 공정거래위원회 사칭 이메일 악성코드 유포된 첨부 파일 중 “이력서.zip” 파일의 경우 내부에 2개의 실행 파일이 존재하였다. 먼저
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의
HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근
![[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)](https://asec.ahnlab.com/wp-content/uploads/2020/09/mask_keyboard-1.png)
[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)
ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염
kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착
어제(2020.04.09) 자사에서는 국회의원 선거관련 문서 형태의 악성코드가 유포 중임을 공개하였다. 해당 문서는 단독으로는 국회의원 선거관련 문서인지 알 수 없지만 다른 문서의 매크로를 통해 발현 됨을 확인하였다. 교묘하게 특정의 상황에서만 선거 관련 문서 내용이 확인 되도록 만들어져 특정 시스템을 타겟팅 했을 것으로 보인다.이 악성코드는 그간 알려진 kimsuky 그룹의 공격으로 확인되어 추가적인 내용을
주의! 21대 국회의원 선거관련 악성 워드문서 유포 중
ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다. http[:]//saemaeul.mireene.com/skin/board/basic/bin 해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다. 사용자에게 보여지는 내용 문서파일을 열 경우 아래와 같이 다운로드 시도
‘첨부도면 견적’을 위장하여 LZH 압축파일로 유포 중인 악성코드
자사에서는 지속적으로 피싱 메일을 통해 악성코드가 꾸준히 유포되고 있음을 확인하고 있다. 아래 [그림1]과 같이 어제(4월 2일)도 견적서 전달로 위장하는 피싱 메일이 유포 중임을 발견했다. 지난 블로그 글에서도 언급했듯이 공격자들은 피싱 메일에 악성파일을 다양한 압축 파일의 형태로 첨부하여 유포한다. [피싱 메일에 악성코드 첨부 유포 관련 지난 블로그 일부] .alz 압축 파일
