웹하드를 통해 유포 중인 모네로 코인 마이너 악성코드

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다. 최근 ASEC 분석팀에서는 웹하드를 통해 XMRig 즉 모네로 코인 마이너를 유포하는 사례가 확인되어 블로그에 소개하려고 한다. 악성코드가 유포된 경로를 확인한 결과 다음과…

국내 기업 대상의 귀신(Gwisin) 랜섬웨어

최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다. 이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL…

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다. 김** 이력서(한미**협회,220711).doc 양**_**재단 중간보고(220716).doc 자문 요청서.doc 유형 1 자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에…

국내 대학교 대상으로 악성 CHM 유포 중

ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. [그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를…

ASEC 주간 악성코드 통계 (20220718 ~ 20220724)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 7월 18일 월요일부터 7월 24일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 44.7%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 40.3%, 다운로더 14.5%, 랜섬웨어 0.6%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 27.0%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…