지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드
CryptBot 악성코드는 S/W 다운로드 페이지를 위장한 악성 사이트에서 유포 중인 정보탈취 유형의 악성코드이다. 다수의 악성 사이트가 개설되어 있으며, 유명 상용 소프트웨어의 Crack, Serial 등의 키워드 검색 시 검색 결과 상위에 다수 노출되기 때문에 많은 사용자가 해당 악성코드를 다운로드하여 실행한다. 또한 해당 샘플은 SFX 방식의 패킹을 사용하기 때문에 정상과 악성의 구분이
Job Offer Letter로 위장한 악성코드
ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다. 그림1) 악성코드 동작과정 스팸메일의 정확한 유입경로는 파악되지 않았으나,
ASEC 주간 악성코드 통계 ( 20210719 ~ 20210725 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 19일 월요일부터 2021년 7월 25일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 54.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 23.6%, 코인마이너 9.2%, 다운로더 8.0%, 랜섬웨어
ASEC 주간 악성코드 통계 ( 20210712 ~ 20210718 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 12일 월요일부터 2021년 7월 18일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 60.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.4%, 다운로더가 8.1%, Coin Mine가 7.1%,
파일리스로 동작하는 Remcos RAT 악성코드
ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면
워드문서를 이용한 특정인 대상 APT 공격시도
ASEC 분석팀은 이전 “‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포” 등으로 소개하였던 악성 워드 문서와 동일한 유형의 악성코드가 여전히 유포되고 있음을 확인하였다. 최근 확인된 워드 파일 역시 기존과 동일하게 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 다운로드한다. 확인된 파일명과 Extarnal 주소는 아래와 같다. 발견일 파일명 External URL 7/3
ASEC 주간 악성코드 통계 ( 20210705 ~ 20210711 )
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 5일 월요일부터 2021년 7월 11일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.4%로 1위를 차지하였으며, 그 다음으로는 CoinMiner 15.5%, RAT (Remote Administration Tool) 악성코드 14.4%, 다운로더 12.9%, 랜섬웨어
더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)
엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스
Kaseya VSA 공급망 공격 랜섬웨어(REvil 그룹)
MSP(Managed Service Provider)및 기업 관리 솔루션 개발사 Kaseya의 프로그램 VSA(각종 패치 관리와 클라이언트 모니터링을 수행할 수 있는 cloud 기반 매니지먼트 서비스) 취약점으로 배포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 BlueCrab(Sodinikibi)랜섬웨어로 확인되었다. 아래의 그림은 해당 랜섬웨어 감염 시, 바탕화면의 모습을 나타내며 국내 활발하게 유포중인 BlueCrab과 동일함을 알 수 있다. 국내 이슈되는 BlueCrab이
다양한 이미지를 포함하여 유포되는 Excel 4.0 매크로
ASEC 분석팀은 Excel 4.0 매크로(수식 매크로)를 이용한 악성 엑셀 파일이 지속적으로 유포 중임을 확인하였다. 해당 악성코드는 지난 5월 불특정 다수에게 메일을 통해 유포된 적이 있으며, 현재까지 다수 확인되고 있어 사용자의 주의가 필요하다. 악성 엑셀 파일 내부에는 매크로 실행을 유도하는 이미지가 포함되어 있으며, 아래는 현재 유포중인 파일에서 사용된 이미지이다. [그림 1]
