미분류

매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자

7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnlab.com/ko/36746) 위 그림과 같이 기존 CPL 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는…

ASEC 주간 악성코드 통계 (20220815 ~ 20220821)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 15일 월요일부터 8월 21일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 57.8%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 24.2%, 다운로더 13.7%, 랜섬웨어 3.7%, 코인마이너 악성코드가 0.6%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 38.5%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나…

GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴

ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이다. 프로그램의 구성파일이 정상적으로 보이지만 이 중 솔루션파일(*.sln)은 RAT 툴이다. 이와 같은 방법으로 악성코드 유포자는 RAT 툴을 솔루션파일(*.sln)로 위장하여 실행을 유도한다. 일반적으로 프로그래머는 솔루션파일이 포함된 코드를 받고 프로젝트를 열기위해 솔루션파일을 오픈한다. 이러한 심리를 이용한 사회공학기법에 대한 주의가 필요하다. 위 파일들을 받게되면 아래 [그림2] 처럼 파일들이 존재한다. [그림2]의 환경은 “알려진…

ASEC 주간 악성코드 통계 (20220808 ~ 20220814)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 8일 월요일부터 8월 14일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 41.9%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 38.4%, 다운로더 16.8%, 랜섬웨어 2.2%, 코인마이너 악성코드가 0.6%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나…

매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자

2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다. 유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다. 위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다. (2022/07/19) MS.Upgrade.Database.Cloud.msi(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome 브라우저)(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge 브라우저) Chrome 브라우저이 경우 cpl파일 그대로 다운로드되고 있으나, Edge브라우저의 경우 cpl파일 다운로드가…