미분류

이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe 저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe 포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe 이력서(경력사항 기재하였습니다 잘 부탁드립니다).exe 포트폴리오_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 이력서_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 아래는 최근에 확인된 저작권 위반 관련 위장 메일로, 사용자가 첨부 파일을 실행하도록…

지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어

BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다. ASEC 분석팀은 해당 랜섬웨어와 관련된 다양한 포스팅을 게시하고 있다. 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 BlueCrab 랜섬웨어 유포 사이트 공개 (2) BlueCrab 랜섬웨어는 AV를 우회하기 위해 활발하게 변형을 만들어 내는데,…

Magniber 랜섬웨어 유포 취약점 변경(CVE-2019-1367 -> CVE-2020-0968) 및 행위 진단 우회 시도

ASEC 분석팀은 올해 초 Magniber 제작자가 랜섬웨어를 유포하기 위해 사용하는 취약점을 변경한 것을 공개했었다. https://asec.ahnlab.com/ko/1288 Magniber 제작자가 유포에 사용하던 CVE-2019-1367취약점은 긴급 보안패치(Version 1903)로 인해 업데이트를 수행한 시스템은 2019년 9월 23일부터는 취약점이 동작하지 않았다. 이에 제작자는 최신 취약점을 변경(CVE-2020-0968)하여 감염 대상을 확장하였으며, 설상가상으로 Windows7의 경우 올해 1월 14일 기점으로 서비스가 종료되어 CVE-2020-0968 보안 패치(2020년 4월 15일 배포)를 적용할 수 없다. 아래는 이해를 돕기 위한 변경 전 코드(POC포함)와 변경 후 코드 비교다. [그림-1] CVE-2019-1367 POC 코드 [그림-2] 변경 전 Magniber 사용 취약점(CVE-2019-1367)…

매크로 시트를 이용한 악성 엑셀 국내 유포 중

ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, 지난 10월 Qakbot 유포에도 사용되었다. 피싱 메일은 아래와 같으며, 한국어가 사용된 점으로 보아 국내 사용자를 대상으로 유포된 것으로 추정된다. 또한 해당 메일은 실제 발송된 정상 메일을 활용한 것을 확인할 수 있다. 사용자는 해당 부분으로 인해 정상 메일로 인지할 수 있어, 큰 주의가 필요하다. 메일에는 압축 파일(ZIP)이 첨부되어 있으며, 압축 파일 내부에 악성…

국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포

ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다. 국세청 ‘전자세금계산서’ 사칭 악성코드 유포 – https://asec.ahnlab.com/ko/1368/ [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) – https://asec.ahnlab.com/ko/1234/ 이 첨부된 PPT…