기업 사용자 대상으로 Microsoft를 위장한 피싱 공격
피싱/스캠

기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다. 피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수

  • 10월 27 2021
코로나19 지원금 관련 ‘개인정보 수집 동의서’ 본문 내용의 악성 한글(HWP) 파일
APT

코로나19 지원금 관련 ‘개인정보 수집 동의서’ 본문 내용의 악성 한글(HWP) 파일

  ASEC 분석팀에서는 한동안 유포가 뜸했던 악성 한글(HWP) 파일을 확인하였다. 올 해 4월을 마지막으로 게시된 HWP 파일의 경우에도 내부에 악성 링크 개체를 삽입한 것으로 이번에 확인된 악성 EPS가 삽입된 것은 올해들어 처음 확인된 케이스이다. VirusTotal에도 업로드 되어있는 파일로 누군가 업로드시 ‘test.hwp’, ‘123.hwp’명으로 업로드 한 것으로 보아 테스트 단계로 제작했을 가능성도

  • 10월 19 2021
특정 논문의 악성 워드 문서를 이용한 APT 공격
APT

특정 논문의 악성 워드 문서를 이용한 APT 공격

  ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 추정된다. 사례비지급 의뢰서(양식).doc  (6월 9일 ASEC블로그) [** 하계학술대회]_양력.doc  (6월 30일 ASEC블로그)

  • 10월 15 2021
디스코드를 통해 유포되는 마이너 악성코드
악성코드

디스코드를 통해 유포되는 마이너 악성코드

  ASEC 분석팀에서는 국내에서 유포 중인 악성코드들을 모니터링하던 중 디스코드 메신저를 통해 마이너 악성코드가 유포 중인 것을 확인하였다. 디스코드는 과거부터 국내 사용자를 대상으로 하는 악성코드 유포에 다양한 방식으로 사용되고 있으며 아래와 같은 ASEC 블로그에서도 다룬바 있다. 디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드 디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드

  • 10월 13 2021
특정 항공사 자소서로 위장한 RTF 악성코드
악성코드

특정 항공사 자소서로 위장한 RTF 악성코드

  ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다. 유포 파일명 : ****항공사 자소서_.rtf 해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용

  • 10월 13 2021
웹하드를 통해 유포 중인 악성코드 (10/8일자)
악성코드

웹하드를 통해 유포 중인 악성코드 (10/8일자)

ASEC 분석팀에서는 국내 악성코드들의 유포지를 모니터링하고 있으며, 최근에는 UDP Rat 악성코드와 이를 유포하는데 사용되는 웹하드 게시글을 소개한 바 있다. 공격자로 추정되는 업로더는 아래의 블로그가 공개된 이후에도 또 다른 웹하드를 이용해 유사한 악성코드들을 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다. – 웹하드를 통해 유포 중인 UDP Rat 악성코드 [그림

  • 10월 08 2021
Outlook.exe 를 이용한 악성 PPT 매크로 유포 중
악성코드

Outlook.exe 를 이용한 악성 PPT 매크로 유포 중

최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게

  • 10월 07 2021
Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석
취약점

Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석

  안랩 ASEC 분석팀은 이전 블로그들을 통해 국내 기업을 타겟으로 유포중인 내용에 대해서도 언급한 바 있듯, 최근 보안 이슈 중 하나인 Cobalt Strike의 활동을 지속해서 모니터링 하고 있다. (본 게시글 하단에 이전 블로그 링크 존재) 모니터링 중 특정 IP에서 7월 15일과 8월 2일에 Cobalt Strike 활동이 발생했음을 감지하고 해당 IP의 고객사에

  • 10월 06 2021
‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱
피싱/스캠 악성코드

‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱

  최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다. 스팸 메일로 전파되는 피싱 악성코드 동향 – ASEC BLOG 안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을

  • 10월 05 2021