지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)

ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 먼저, 자사에서 지난 5 월에 발행한 BazarLoader 분석보고서의 일부 내용을 인용하면 아래와 같다. ATIP – BazarLoader 분석보고서 ‘개요’ 부분발췌 BazarLoader는 메모리 상에서 백도어를 다운로드하고 정상 프로세스에 인젝션하는 악성코드로, C++언어를 기반으로 만들어졌으며 주로 x64 실행파일 형태로 유포되고 있다. BazarLoader가 다운로드하는 악성코드는 ‘BazarBackdoor’라 불리며, 이 백도어는 사용자 PC 정보…

비트코인 입금을 유도하는 스캠 메일 유포

ASEC 분석팀은 비트코인 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 비트코인 입금과 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 스캠 사이트로 연결되는 것이 특징이다.  스캠 메일은 아래와 같이 Admin 관리자로 위장하여 Bitcoin Payment이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “고객이 요청하신 대로 비트코인 ​​포트폴리오 관리 사이트(www.fortcoin[.]net/signin)에 25 BTC($1,184,081.00 USD)를 입금했다는 내용과 함께 가입된 고객 ID와 비밀번호를 안내해주고 있다. 해당 스캠 사이트(www.fortcoin[.]net)는 비트코인 포트폴리오 관리 사이트로 위장하고 있으며 포트폴리오 별로 지갑 관리, 입/출금, 이자 지급…

메타스플로잇 미터프리터를 이용한 공격 사례

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다. 메타스플로잇 미터프리터 코발트 스트라이크는…

Excel 4.0 매크로를 통해 유포되는 Dridex

최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다. 최근 유포되고 있는 엑셀 문서의 실행 화면은 아래와 같다. 다양한 이미지를 이용하여 사용자가 매크로 사용…

‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일 마지막으로 수정한 날짜 – 2021년 8월 14일 해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다. 주목할 점은 해당 문서보호를…