미분류

오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT 악성코드

ASEC 분석팀에서는 이전 BitRAT 악성코드가 윈도우 OS 정품 인증 도구를 위장하여 유포중인 상황을 블로그에 아래글로 게시 하였다. 최근 해당 BitRAT 악성코드는 유포 파일을 변경하여 오피스 설치 프로그램을 통해 피해자들을 유인 하고 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][저렴]오피스 2021 설치 + 영구 정품 인증” 이라는 제목이다. 다운로드된 파일은 [그림 3] [그림 4] 와 같이, 이전 블로그와 동일하게 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 ”OInstall.exe”라고 하는 오피스 설치 프로그램이 포함되어 있다. 피해자에게 노출되는…

Magniber 랜섬웨어의 유포 중단 (2/5 이후)

안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다. 인터넷 익스플로러의 브라우져 취약점을 사용하는 매그니베르 랜섬웨어 크로미움(Chromium)기반 브라우져인 경우 업데이트 설치파일(.appx)…

기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례

지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다.  Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월 16일에 최초 발견됐다. 안랩에서는 2018년 5월경부터 GlobImposter 류의 랜섬웨어를 진단명 Trojan/Win32.FileCoder로 진단하고 있었고, 9월 16일 등장한 Lockis 랜섬웨어도 진단이 가능한 상황이었다.  피해 시스템에서 확인된 공격자의 공격 순서는 다음과 같다.  1….

‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일 마지막으로 수정한 날짜 – 2021년 8월 14일 해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다. 주목할 점은 해당 문서보호를…

ASEC 주간 악성코드 통계 ( 20210531 ~ 20210606 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 31일 월요일부터 2021년 6월 6일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 82.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, 다운로더가 1.5%로 집계되었다. 뱅킹 악성코드와 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 29.4%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출…