Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.
다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일
작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다. 국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG 최근 악성코드 유포 키워드 중 많은 비중을 차지
마스토돈 SNS를 악용하는 Vidar 악성코드
ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에
엑셀 파일을 통해 유포 중인 Emotet 악성코드
ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다. 그림 1. 악성 엑셀 파일1 그림 2. 악성 엑셀 파일2 엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠
웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)
ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는
국내 유명 포털사이트 위장한 정보유출 악성코드
ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일
메신저 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 그림 1. 피싱 페이지 (1) 그림 2. 피싱 페이지 (2) 그림 3. 공급망 공격 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치
대북 관련 한글문서(HWP) 유포 중
ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체
“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드
ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을
V3 네트워크 탐지 기능에 의한 Log4j 취약점(CVE-2021-44228) 탐지
지난 2021년 12월 10일 Apache Log4j 취약점(CVE-2021-44228)이 공개됨에 따라 Github에 다양한 POC가 업로드되었다. Log4j 취약점은 공격자가 로그 메시지에 악성 클래스 주소를 삽입하여 웹서버에 공격자가 제작한 악성 클래스를 실행 시킬 수 있어 파급력이 크다. 안랩에서는 Log4j 취약점 공격을 탐지하기 위해 네트워크 차단 시그니처를 업데이트 하였으며 아래에서 Log4j 취약점 설명 및 V3
