최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)

ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷 DLL이 포함되어 매그니베르 쉘코드를 실행 중인 프로세스에 인젝션 한다. 최신 매그니베르의 전체적인 동작 흐름은 [그림 1]과 같다. 닷넷 DLL 내부에는 매그니베르 쉘코드를 포함하고 있으며 쉘코드의 기능은 현재 실행 중인 다수의…

매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자

7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnlab.com/ko/36746) 위 그림과 같이 기존 CPL 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는…

국내 그룹웨어 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀에서는 국내뿐만 아니라 해외에서 유포 중인 다양한 악성코드를 수집하기 위해 허니팟을 구축하고 있다. 이 허니팟은 피싱 메일도 같이 수집하는데 최근 8월부터 한국 계정에만 지속적으로 유포 중인 한국 타겟형 피싱 메일을 포착하였다. 해당 피싱 사이트는 국내 그룹웨어의 로그인 사이트를 위장한 것으로 국내에서 2500건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 그룹웨어 사이트에 로그인 시 각별한 주의가 필요하다. 해당 피싱 사이트는 메일로 유포되는 것뿐만 아니라 구글 검색 엔진의 상위에도 노출되어 부주의 시 사용자 계정이 쉽게 유출될 위험이 있다. 최근까지 유포된…

ASEC 주간 악성코드 통계 (20220829 ~ 20220904)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 29일 월요일부터 9월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 45.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 28.1%, 백도어 18.5%, 랜섬웨어 6.2%, 코인마이너 및 뱅킹 악성코드가 각각 0.7%로 집계되었다. Top 1 – GuLoader 22.6%를 차지하는 GuLoader 는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 과거에는 진단을 우회하기 위해 Visual Basic 언어로 패킹되어 있었으나 최근에는 NSIS 인스톨러…

ASEC 주간 악성코드 통계 (20220822 ~ 20220828)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 22일 월요일부터 8월 28일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 41.0%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 31.8%, 다운로더 21.4%, 랜섬웨어 5.8%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API 등을…