V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber)
파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2021년 3월 기존 CVE-2020-0968 취약점 대신 CVE-2021-26411 취약점을 사용하는 스크립트로 변경되었다. 매그니베르(Magniber) 랜섬웨어는 여전히 국내 피해사례가 많은 상황이며, IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. V3 제품에 탑재된 ‘프로세스 메모리 진단‘ 기능으로 최신 메그니베르(Magniber)의 탐지/차단이 가능하다. 매그니베르 랜섬웨어는 IE 브라우저
채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드
ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행
피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!
ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어
스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)
최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다. 최근 ASEC 통계 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일
대북관련 질의서 제목의 한글문서(HWP) 유포
ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은
군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중
ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은
탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석
Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와
엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)
ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다. 피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다.
계정 이용 제한 안내 메일로 위장한 피싱 메일 유포 중
ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다. 최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을
사례비 의뢰서 위장 악성 워드 (External 연결 + VBA 매크로)
문서형 악성코드가 유행이라고 해도 과언이 아닐 만큼 다양한 형태의 악성 문서(HWP, WORD, EXCEL, PDF 등)들이 유포되고있어, ASEC 분석팀에서도 그간 해당 블로그에 다수 관련 내용을 제공해왔다. 그리고 이번에도 새로운 형태의 악성 워드(WORD)문서가 확인되어 이에 대해 알리려한다. ‘사례비지급 의뢰서’로 위장한 악성 워드 형태이며 기존과 조금 다른 점은 악성 External 연결과 VBA 매크로를
