ASEC 주간 악성코드 통계 ( 20211206 ~ 20211212 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 6일 월요일부터 2021년 12월 12일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 33.3%로 1위를 차지하였으며, 그 다음으로는 코인마이너가 25.3%, 다운로더가 22.8%, RAT (Remote Administration Tool) 악성코드가 16.2%, 뱅킹 악성코드가 1.8%, 랜섬웨어가 0.6%로 집계되었다. Top 1 –  Glupteba 25.33%로 1위를 기록한 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를…

동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례 

ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다.  피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다.  게다가 해당 NTLM 해시를 복호화한 결과 Administrator 계정의 평문 패스워드는 `1qazxcv 인 것으로 확인됐다. 이 패스워드 문자열은 영문자, 숫자, 특수문자가 모두 포함돼 복잡도 기준은 만족시키는 패스워드지만, 자주 사용되는 패스워드 패턴이라, 추측이 쉬운 안전하지 않은 패스워드였다. 해당 업체는 Microsoft ActiveDirctory를…

웹 브라우저 자동 로그인 기능에 저장된 계정을 노리는 RedLine Stealer

안랩 ASEC 분석팀은 최근 한 기업의 내부 망 침해 사고 조사에서 기업 망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다. 피해가 발생한 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정/패스워드를 웹 브라우저에 저장하고 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의…

보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드

ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다. FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는 주간 악성코드 통계에서도 매번 순위권에 존재하는 만큼 유포가 매우 활발한 것을 알 수 있으며, FormBook 악성코드에 대한 상세 정보는 아래에 링크한 게시글을 통해 확인 가능하다. 또한, ASEC블로그에서 자주 소개한 바와…

ASEC 주간 악성코드 통계 ( 20211129 ~ 20211205 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 11월 29일 월요일부터 2021년 12월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 31.4%로 1위를 차지하였으며, 그 다음으로는 코인마이너가 25.6%, 인포스틸러가 22.3%, RAT (Remote Administration Tool) 악성코드가 20.1%, 랜섬웨어가 0.4%, 뱅킹 악성코드가 0.1%로 집계되었다. Top 1 –  BeamWinHTTP 30.9%로 지난주에 이어 1위를 기록한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인…