윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드

ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다. 다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다. ”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에…

ASEC 주간 악성코드 통계 ( 20220307 ~ 20220313 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 7일 월요일부터 3월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 12.4%, 다운로더 6.8%, 뱅킹 악성코드 5.9%, 랜섬웨어 2.7%, 백도어 0.3% 로 집계되었다. Top 1 –  AgentTesla 이번주는 인포스틸러 악성코드인 AgentTesla 가 29.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다….

제품소개서로 위장한 악성 워드 문서

ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다. 해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다. 문서…

ASEC 주간 악성코드 통계 ( 20220228 ~ 20220306 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 28일 월요일부터 3월 6일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 67.0%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.0%, 다운로더 6.8%, 뱅킹 악성코드 4.1%, 랜섬웨어 2.7%, 백도어 0.5% 로 집계되었다. Top 1 – Formbook 이번주는 인포스틸러 악성코드인 Formbook이 28.1%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. DH-0010302022.exe 85397635-622102032022-pdf.pif.exe…

취약한 데이터베이스 서버를 대상으로 유포 중인 Gh0stCringe RAT

ASEC 분석팀은 취약한 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 여기에서는 Gh0stCringe[1]라고 하는 RAT 악성코드를 다룬다. Gh0stCringe는 CirenegRAT이라고도 불리는 악성코드로서 Gh0st RAT의 코드를 기반으로 하는 변종 중 하나이다. 2018년 12월경에 처음 확인되었으며 SMB 취약점(ZombieBoy의 SMB 취약점 도구를 사용하여)을 통해 유포되었던 것으로 알려져 있다.[2] 이후 직접적인 연관 관계가 확인된 것은 아니지만 2020년 6월경 발간된 KingMiner 코인 마이너 분석 보고서[3]에서 언급된 바 있다. 최근 확인되고 있는 Gh0stCringe RAT은 취약한 데이터베이스 서버들을 대상으로 유포되고 있다. 자사 ASD 로그를 기반으로…