다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky

Posted By ,

AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고 있다. (1) 유포 사례 5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로…

한글 문서 파일을 위장한 악성코드(Kimsuky)

Posted By ,

AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다. 확인된 악성코드는 압축파일 형태로 유포되며 내부에 readme.txt와 함께 한글 문서 확장자로 위장한 실행 파일이 존재한다. readme.txt 파일에는 아래와 같이 악성 EXE 파일(개인정보유출내역.hwp.exe)의 실행을 유도하는 문구가 포함되어 있다. 악성 EXE 파일은 닷넷(.NET)으로 컴파일되었으며 한글 문서 아이콘을 사용하여 문서 파일처럼 보이도록 위장하였다. 또한, 확장자가…

MS-SQL 서버를 공격 중인 BAT 파일 확장자 랜섬웨어 분석(Mallox)

Posted By ,

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT파일 확장자의 Mallox 랜섬웨어가 유포되고 있는 것을 확인하였다. 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 유포되는 파일 형태가 EXE 파일 확장자와 더불어 Fileless형태인 BAT 파일 확장자도 사용되고 있다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 Remcos RAT 와 Mallox 랜섬웨가 있다. BAT 파일 확장자 유포는 powershell 과 sqlps 를 사용한 사례 2가지 모두 존재한다. sqlps 유포는 기존 ASEC 블로그를 통해 소개한 바 있다. 아래 [그림 1]은 자사 AhnLab Smart Defense(ASD)…

.NET 설치 파일로 위장한 RecordBreaker 정보탈취 악성코드

Posted By ,

크랙으로 위장하여 유포 중인 악성코드가 진화하고 있다. 과거에는 단순하게 악성코드 실행 파일 자체를 유포했다면, 압축 파일 내부에 정상 파일들을 포함하기 시작했고, 최근에는 정상 인스톨러를 다운로드 후 실행하는 샘플이 등장하였다. 일반적인 사용자 환경에서 악성코드를 실행할 경우 공격자의 서버로부터 암호화된 악성코드 파일을 다운로드 후 실행하며, 해당 악성코드는 정보 탈취 기능의 RecordBreaker Stealer (Raccoon Stealer V2)이다. 하지만 가상 환경에서는 악성코드가 아닌 MS 공식 홈페이지로부터 .NET 업데이트 설치 파일을 다운받아 실행 후 종료된다. 기존 .NET Framework 의 설치 여부에 따라 다음과 같은 윈도우가 출력될 수…

ASEC 주간 악성코드 통계 (20230605 ~ 20230611)

Posted By ,

ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 6월 5일 월요일부터 6월 11일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 44.6%로 1위를 차지하였으며, 그 다음으로는 다운로더가 43.9%, 이어서 백도어 9.5%, 랜섬웨어가 2.0%로 집계되었다. Top 1 – Amadey Amadey Bot 악성코드는 이번 주 30.4%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이 사용될 경우에는…