디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 RAT (Remote Administration Tool) 악성코드들이 유포 중인 것을 확인하였다. 현재 해당 악성코드들을 다운로드하는 다운로더 악성코드가 “야동 링크.exe”라는 이름으로 유포 중이며 이 악성코드가 실행될 경우 외부에서 RAT 악성코드들을 다운로드하고 설치한다. 디스코드(Discord)는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원해 주기 때문에 주로 게임을 플레이할 때 많이 사용되는 것으로 알려져 있으며, 이외에도 친목과 같은 다양한 목적으로 많은 사용자들이 존재한다. 문제는 비공개적인 인스턴트…

Magniber 랜섬웨어 유포 취약점 변경(CVE-2019-1367 -> CVE-2020-0968) 및 행위 진단 우회 시도

ASEC 분석팀은 올해 초 Magniber 제작자가 랜섬웨어를 유포하기 위해 사용하는 취약점을 변경한 것을 공개했었다. https://asec.ahnlab.com/ko/1288 Magniber 제작자가 유포에 사용하던 CVE-2019-1367취약점은 긴급 보안패치(Version 1903)로 인해 업데이트를 수행한 시스템은 2019년 9월 23일부터는 취약점이 동작하지 않았다. 이에 제작자는 최신 취약점을 변경(CVE-2020-0968)하여 감염 대상을 확장하였으며, 설상가상으로 Windows7의 경우 올해 1월 14일 기점으로 서비스가 종료되어 CVE-2020-0968 보안 패치(2020년 4월 15일 배포)를 적용할 수 없다. 아래는 이해를 돕기 위한 변경 전 코드(POC포함)와 변경 후 코드 비교다. [그림-1] CVE-2019-1367 POC 코드 [그림-2] 변경 전 Magniber 사용 취약점(CVE-2019-1367)…

BlueCrab 랜섬웨어 유포 사이트 공개 (2)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 이전 포스팅: 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로…

‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포

ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다. 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp 발주서(산단)_컴퓨터 2대.hwp 최근거래내역.hwp 실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할…

ASEC 주간 악성코드 통계 ( 20201207 ~ 20201213 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 12월 7일 월요일부터 2020년 12월 13일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 56.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.5%, Coin Miner가 14.2%를 차지하였다. 뱅킹 악성코드는 9.7%, 다운로더는 2.3%를 차지했으며, 랜섬웨어는 1.1%로 그 뒤를 따랐다. Top 1 – Smokeloader Smokerloader는 인포스틸러 / 다운로더 악성코드로서 18.8%로 1위를 차지했다. Vidar, Glupteba, BeamWinHTTP 등의 악성코드와 마찬가지로 MalPe 외형을 갖는다.  실행되면…