해외 직구 시즌을 맞아 ‘Emirates Post’ 사칭 메일 유포 중

ASEC 분석팀은 다양한 기업을 사칭한 피싱 사이트들을 소개해왔다. 최근에는 해외 직구 시즌을 맞이하여 운송 회사인 Emirates Post 를 사칭한 악성 메일이 유포 중인 것을 확인하였다. 유포 중인 악성 메일은 아래와 같으며, 메일 내용에는 배송 주소에 문제가 있어 구매자에게 확인 및 반품을 요청하는 문구를 사용하였다. 해당 메일 내 “Tracking Number” 와 “Click Here” 문구에 악성 링크가 첨부되어 있으며, 해당 링크는 피싱 사이트로 연결된다. 또한 해당 링크는 24시간 내 만료된다는 메시지를 이용하여 사용자가 해당 링크를 클릭하도록 유도하고 있다. 메일 내 첨부되어 있는…

ASEC 주간 악성코드 통계 ( 20211108 ~ 20211114 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 11월 08일 월요일부터 2021년 11월 14일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 41.8%로 1위를 차지하였으며, 그 다음으로는 RAT(Remote Administration Tool) 악성코드 24.7%, 다운로더 23.0%, 백도어 악성코드 4.7%, CoinMiner 3.3% Ransomware 2.3%, Banking 0.2% 순으로 집계되었다. Top 1 –  BeamWinHTTP 22.2%로 지난주에 이어 1위를 기록한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면…

CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서

ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수 있다. 취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업…

Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다. 일반적으로 스피어피싱 공격…

KIMSUKY 조직의 Operation Light Shell

1. 개요 KIMSUKY 조직은 국가를 배경으로 둔 해킹 조직으로 외교, 안보, 정치, 언론, 의료, 방산, 교육, 암호 화폐 등 다양한 분야를 대상으로 금전적인 이득, 파일 탈취를 위해 해킹을 수행하고 있으며, 이를 위해서 악성코드를 제작한 후 유포했다. 본 보고서는 KIMSUKY 조직이 제작한 후 유포한 악성코드 중 악성코드의 패턴과 특징을 근거로 그룹화가 가능한 악성코드와 C2에 대해서 기술적인 분석 내용을 설명했다. 2. Operation Light Shell 악성코드가 통신하는 C2에는 아래 그림처럼 light-shell 파일이 항상 존재했으며, 해당 파일은 아래 예시의 데이터를 저장하고 있다. 예시) [2021-04-07…