ASEC 주간 악성코드 통계 ( 20210517 ~ 20210523 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 17일 월요일부터 2021년 5월 23일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 75%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.3%, 다운로더가 3.6%, 랜섬웨어가 2.1%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 27.9%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버…

불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. 확보한 EML 3개의 공통점으로는 사용자 메일에 대한 회신인 것처럼 속여 악성 매크로 엑셀파일을 유포하고 있다. 세 번째 이미지에서 알 수 있듯이 ‘위암 국제 학술대회(KINGCA week 2021)’ 초대메일에 대한 회신으로 위장하여 수신자로 하여금 메일을…

단축 도메인을 악용하는 기관 사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱 메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 첨부된 파일에서 동일류로 판단되는 피싱 메일이 다량으로 유포되고 있는 정황이 포착되었다. 해당류의 피싱 메일의 특징은 최종적으로 연결되는 피싱사이트의 HTML 파일 구조는 다르지만, 메일에 첨부된 리다이렉션 기능의 HTML 파일의 구조가 동일하고, 특정 단축 도메인(chilp.it)을 사용하여 피싱 페이지의 URL 을 은닉하는 특징을 보인다. 서로 다른 두 개의 피싱 메일을 통해 동일 류로 판단되는 구조적인 특징을 설명한다. 아래 [그림 3], [그림 4]는 위 [그림 1], [그림 2]의 피싱 메일에…

정상 엑셀/워드 문서로 위장한 악성 코드

ASEC 분석팀은 최근 특정 유형의 악성 매크로를 포함한 문서 파일이 지속적으로 유포되고 있음을 확인하였다. 해당 유형의 악성 파일은 아래와 같이 다양한 파일명으로 유포되고 있으며, 모두 정상 파일을 위장하는 내용을 담고 있어 사용자의 주의가 필요하다. 제헌절 국제학술포럼.doc 제28차 남북관계전문가토론회***.doc 사례비 양식.doc email_20210516.xls email_20210414.xls 최근 확인된 엑셀 파일의 경우 ’email_20210516.xls’과 같이 유포 날짜를 파일명에 포함하고 있으며, 아래와 같이 매크로 활성화를 유도하는 내용을 포함하고 있다. 또한, 하단에 국내 카드사의 정보를 추가하여 해당 카드사에서 발신한 것처럼 위장하였다. 사용자가 콘텐츠 사용을 클릭하면 아래와 같이 메일…

랜섬웨어 기업 공격 증가! 기업 시스템을 노리는 랜섬웨어 공격 사례

기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다. 과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐를 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스 운영 재개를 해야하는 입장인 기업을 대상으로…