한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes) Posted By EASTSTON3 , 2023년 5월 25일 AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다. [그림1] 은 악성코드의 아이콘과 전체적인 실행 그림이다. 악성코드가 실행되어…
ASEC 주간 악성코드 통계 (20230515 ~ 20230521) Posted By ASEC , 2023년 5월 23일 ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 15일 월요일부터 5월 21일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 36.9%, 이어서 백도어 15.3%, 랜섬웨어가 3.4%, 코인마이너가 0.6%로 집계되었다. Top 1 – Amadey Amadey Bot 악성코드는 이번 주 25.6%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이…
국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 Posted By Sanseo , 2023년 5월 22일 AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 사례를 소개한 바 있다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속을 필요로 하는 사람들이 설치했던 사례가 많았으며 블로그 공개 이후 조치가 완료되었다. 하지만 최근 동일한 VPN 업체의 인스톨러에서 SparkRAT을 설치하는 악성코드가 다시 유포된 사례가 확인되었다. 악성코드 유포는 일정 기간 이후 중단되었는데, 공격 흐름의 유사성이나 공격 과정에서 SparkRAT이 사용되는 점 등을 보아 동일한 공격자의 소행으로 추정된다. 여기에서는 최근 다시 확인되고…
ASEC 주간 피싱 이메일 위협 트렌드 (20230507 ~ 20230513) Posted By ASEC , 2023년 5월 19일 AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 05월 7일부터 05월 13일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인…
스페인 사용자들을 대상으로 유포 중인 StrelaStealer Posted By gygy0101 , 2023년 5월 18일 AhnLab Security Emergency response Center(ASEC) 에서는 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 StrelaStealer 가 유포 중인 것을 확인하였다. StrelaStealer 악성코드는 지난 2022년 11월경 처음 발견되었으며, 스팸 메일의 첨부 파일을 통해 유포되고 있다. 첨부 파일에는 ISO 파일이 이용되어 왔으나, 최근에는 ZIP 파일을 이용하고 있다. 유포 중인 이메일은 [그림 1] 과 같다. 해당 메일에서 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있으며, 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은…