랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례
기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은
기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!
ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다. 공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고
국내 메일 서비스 사용자 타겟 피싱 사이트
최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서
V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)
ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다. https://asec.ahnlab.com/ko/21256/ (V3
피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드
ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의
배달 앱을 위장한 악성코드 유포 주의
지난 5월 10일 ASEC 분석팀은 코로나-19(COVID-19)로 인하여 배달음식 소비가 급증하고 있는 가운데 공격자가 배달 어플리케이션을 미끼로 악성코드를 유포하고 있음을 확인하였다. 주문할게요 앱.zip (압축파일명) 주문할게요 앱\마케팅.docx (압축파일 내부 XML External 문서 악성코드) 주문할게요 앱\수정사항.docx (압축파일 내부 XML External 문서 악성코드) (이번에 발견된 악성 zip파일에 사용된 파일명은 정상 애플리케이션과 전혀 관련이 없으며
스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거
HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한
특정 게임 플랫폼을 악용한 Vidar 인포스틸러
ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을
미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)
ASEC 분석팀에서는 대북관련, 공공기관 등으로 위장하여 유포되는 악성 문서를 지속적으로 보고하고 있다. 이번 소개할 내용은 미국 투자은행을 사칭하여 유포되는 악성 DOC(워드) 문서로 사칭 내용은 [그림 1]과 같다. 해당 악성 DOC(워드) 문서는 MAC OS 환경에서 동작하며 감염시 사용자 PC에 백도어를 설치한다. 해당 악성 DOC(워드) 문서는 [그림 2] 와 같이
구글 키워드 검색으로 유포되는 정보 유출 악성코드들
ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다. 나 몰래 악성코드가 설치된다고?! BeamWinHTTP 악성코드! – ASEC
