Formbook 악성코드의 C2 통신 방식
대다수의 악성코드는 공격자의 명령 수신과 추가 악성 행위를 위해 C2(Command & Control server)를 활용한다. 공격자의 입장에서는 AV 제품의 감시망을 뚫고 사용자 PC에 악성코드를 감염시켜도 C2 접속이 차단되면 무용지물이다. 따라서 C2 정보 파악을 어렵게 하기 위해 가짜 C2와 통신을 하거나, 단 한 개라도 작동을 보장하기 위해 많은 수의 C2를 사용하는 등의
QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중
ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel
이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)
ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe 저작권법 관련하여 위반인 사항들 정리하여
ASEC 주간 악성코드 통계 ( 20210208 ~ 20210221 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 2월 8일 월요일부터 2021년 2월 21일 일요일까지 수집된 2 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 67.7%로 1위를 차지하였으며, 그 다음으로는 다운로더가 12.0%, Coin Miner 가 9.7%, RAT (Remote Administration Tool) 악성코드가
DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지
최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며,
ASEC 주간 악성코드 통계 ( 20210201 ~ 20210207 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 2월 1일 월요일부터 2021년 2월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 70.9%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 13.7%, RAT (Remote Administration Tool) 악성코드가 13.2%, 다운로더는 2.2%로 집계되었다.
견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의!
Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고
‘2021년 국방부 업무보고 수정’ 문서로 위장한 악성코드 유포
1월 24일 ASEC에서는 ‘2021년 국방부 업무보고 수정’문서로 위장하여 악성코드가 함께 유포된 정황을 확인하였다. 해당 악성코드의 확장자는 아래와 같이 *.pif로 만들어져 유포되었으며 이는 EXE 확장자와 같은 실행 가능한 파일이다. 파일 실행 시 아래의 그림과 같이 현재 국방부 홈페이지에서 제공하는 정상 PDF 문서의 내용과 동일한 파일이 사용자에게 보여진다. 하지만, 정상 PDF 문서파일과
ASEC 주간 악성코드 통계 ( 20210125 ~ 20210131 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 1월 25일 월요일부터 2021년 1월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 69.3%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 12.1%, RAT (Remote Administration Tool) 악성코드가 10.2%, 다운로더는 7.4%로 집계되었다. 랜섬웨어는
파일공유 사이트(WeTransfer) 를 위장한 피싱메일 유포
최근 파일공유 사이트 WeTransfer를 위장하여 사용자의 개인정보를 유출하는 피싱메일이 유포되고 있다. 2월 2일 ASEC 분석팀이 수집한 이메일에 의하면, 공격자는 본문에 악성 링크가 포함된 메일을 수신자 맞춤형으로 개별 발송하였다. 본문 내용은 WeTransfer를 통해 새로운 파일이 도착했다는 내용이다. 링크를 클릭할 시 공격자가 미리 준비해둔 피싱 웹페이지로 접속하게 된다. 악성 이메일은 한글 또는
