미분류

본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고,파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ 과 ‘2) 보다 더 정교하게 제작한 악성 OneNote

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을

ASEC 분석팀에서는 IE 취약점을 통해 유포되는 매그니베르 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되고 있고, 하기 블로그에서 언급한 것처럼 현재까지도 IE(Internet Explorer)를 통해 취약점을 활용한 형태로 유포되고 있다. 하지만 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서도 유포 중인 현황이 발견되었다. 이와 같은 방식은 기존 인터넷 익스플로러를

안랩 시큐리티대응센터(ASEC)은 2020년경부터 최근까지 확인되고 있는 Lazarus 그룹의 공격들에 대해 분석 보고서를 공개한다. 여기에서 다루는 악성코드는 NukeSped로 알려져 있으며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 본 문서에서는 NukeSped를 이용한 공격들에 대한 전체적인 흐름을 분석한다. 차례대로 확인된 유포 방식부터 시작하여 NukeSped의 기능들을 분석하고, 공격자로부터 전달받은 명령이나

ASEC 분석팀은 원본 확장자 이름에 _r00t_{6자_랜덤}.RaaS 를 추가하는 신종 랜섬웨어가 국내에 다수 유포 중인 것을 확인하였다. 이 랜섬웨어는 파라다이스(Paradise) 랜섬웨어의 변형으로 추정되며, 제작된 시간은 PE파일 내부의 Time Date Stamp 정보 상 12월 21일로 최근 임을 확인할 수 있다. 국내에는 12월 23일 첫 피해가 확인되었으며 “wscript.exe” 프로세스에 의해 생성된 것을 볼

12월 20일 국내를 대상으로 다운로더 악성코드를 유포하는 스팸메일이 유포되고 있어 사용자의 주의가 필요하다. 해당 HTML 파일 실행 시 다음과 같이 국내 은행을 사칭한 화면을 볼 수 있다. 패스워드로 생년월일 6자리를 입력하게 되어있지만, 공백을 제외한 아무 문자나 입력 가능하다. 패스워드 입력 후 Confirm 버튼을 클릭하면 악성 매크로가 포함된 엑셀 파일이 다운로드된다.

지난 5월 14일 MS는 블루킵(CVE-2019-0708) 취약점 패치를 위해 긴급 보안 업데이트를 공지하였다. 또한 이례적으로 서비스 지원을 중단한 OS(Windows XP, Windows Vista, Windows Server 2003)까지 업데이트를 제공하며 블루킵 취약점을 2017년의 이터널 블루 취약점과 같이 ‘Wormable’한 취약점으로 악용될 수 있음을 경고하였다. 블루킵은 클라이언트와 서버간의 RDP(Remote Desktop Protocol) 연결 과정 중 클라이언트가 특정