스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla)
AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다.
비정상적 인증서를 가진 정보탈취 악성코드 유포 중
최근 비정상적인 인증서를 사용한 악성코드가 다수 유포되고 있다. 악성코드는 통상 정상 인증서로 위장하는 경우가 많지만, 해당 악성코드는 인증서 정보를 무작위로 입력하였으며 그중 Subject Name 항목과 Issuer Name 항목은 비정상적으로 문자열 길이를 길게 하였다. 때문에 윈도우 운영체제 상에서는 인증서 정보가 보이지 않으며 특정 툴 혹은 인프라를 통해야 해당 인증서 구조를 확인
침해당한 시스템의 코인마이너 유포 과정(EDR 탐지)
AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다. 그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를
국세청을 사칭한 악성 LNK 유포
AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다. 최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된
MS-SQL 서버를 공격하는 HiddenGh0st 악성코드
Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. [1] 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 Gh0st RAT은 중국 기반의 공격자들이 주로 사용하는 것이 특징이다. 이전 블로그에서도 데이터베이스 서버(MS-SQL, MySQL 서버)를
저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지)
AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일
국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드
BlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서 BlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는 제작자가 중국어 사용자일 가능성을 보여준다. Figure 1. 깃허브에 공개되어 있는 BlueShell BlueShell이
Telegram을 활용하여 사용자 정보를 유출하는 피싱 스크립트 파일 유포중
AhnLab Security Emergency response Center(ASEC)은 최근 이메일 첨부 파일을 통해 PDF 문서뷰어 화면으로 위장한 피싱 스크립트 파일이 다수 유포되고 있는 정황을 확인하였다. 확인된 일부 파일명은 아래와 같으며, 구매 주문서(PO, Purchase Order)/주문/영수증/발주서 등의 키워드를 활용하였다. New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-019.html ○○○ Pharma.pdf.html DH○_BILL_LADING_DOCUMENT_RECEIPT.html _○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) BL_148200078498.html En○○○ Purchase Order.html
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지
Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft)
AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다. 확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로
