은폐형 악성코드 PurpleFox 감염여부 확인 및 치료

PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다. 루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키…

취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크

ASEC 분석팀은 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격(Brute Forcing) 또는 사전 공격(Dictionary Attack)이 있다. 일반적으로 공격자 또는 악성코드는 1433번 포트에 대한 스캐닝 과정을 통해 외부에 오픈된 MS-SQL 서버들을 확인한다. 이후 관리자 계정 즉 “sa” 계정에 대해 무차별 대입 공격이나 사전…

변형된 CryptBot 정보 탈취 악성코드 유포 중

CryptBot 악성코드는 주로 크랙 및 툴 공유로 위장하여 유포되는 정보 탈취 유형의 악성코드이다. 유포 페이지는 구글 등의 검색 엔진의 검색 결과 상위에 노출되어 감염 위험이 크며 관련 진단의 탐지 수량 또한 많은 편이다. 때문에 ASEC 분석팀에서는 기존 여러 포스팅을 통해서 관련 위협에 대해 주의를 당부하였다. 지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드 다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드 CryptBot 악성코드는 변형이 매우 활발한 악성코드 중 하나로, 유포 페이지는 지속적으로 새롭게 생성되며 최근 들어 변형된 버전의 CryptBot 악성코드가 유포되고 있어…

Magniber 랜섬웨어의 유포 중단 (2/5 이후)

안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다. 인터넷 익스플로러의 브라우져 취약점을 사용하는 매그니베르 랜섬웨어 크로미움(Chromium)기반 브라우져인 경우 업데이트 설치파일(.appx)…

Cryptbot 과 동일한 방식으로 PseudoManuscrypt 국내 유포 중

ASEC 분석팀은 지난 2021년 5월 경부터 현재까지 PseudoManuscrypt 악성코드가 국내 유포 중인 정황을 포착하였다. PseudoManuscrypt 악성코드는 ASEC 블로그에 소개해왔던 Cryptbot 악성코드와 유사한 형태의 설치 파일로 위장하여 유포되고 있으며 파일의 형태 뿐만 아니라, 검색 엔진에 Crack, Keygen 등 상용 소프트웨어 관련 불법 프로그램에 대해 검색할 경우 상위에 노출되는 악성 사이트를 통해 유포되는 방식도 Cryptbot 과 동일하다. 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 PseudoManuscrypt 진단 로그 중 아래와 같은 실행 파일 경로를 확인하였으며, 윈도우 정품 인증 프로그램을 악성 사이트에서 다운 받으려던 것으로…