군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중

ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은 아래와 같다. 월간KIMA2021_4월호군사안보0330.docx 월간KIMA2021_4월호군사안보0331.docx 문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다. 해당 문서에서 접속하는 악성 External 주소는 아래와…

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)

ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다. 피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다. 메일의 본문 내용에는 마치 신뢰할 수 있는 금융기관인 것처럼 보이는 것을 볼 때, 정상적으로 사용된 메일을 악용한 것으로 추정된다. 첨부 파일은 HTML 파일(Advice.htm)로 되어 있으며, 실행해보면 아래와 같은 창이 뜨게…

ASEC 주간 악성코드 통계 ( 20210322 ~ 20210328 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 22일 월요일부터 2021년 3월 28일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 74.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 17.2%, 다운로더가 4.3%, Coin Miner 가 2.8%, 뱅킹 악성코드가 1.2%로 집계되었다. 랜섬웨어는 이전과 동일하게 수량이 줄어들어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 27.1%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러…

계정 이용 제한 안내 메일로 위장한 피싱 메일 유포 중

ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다. 최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을 알 수 있다. 또한, 정상적인 Daum 고객센터의 Email 주소는 notice-master@daum.net으로 해당 메일에서는 blogdaum.net 로 도메인 주소만 교묘하게 변경하여 수신자가 쉽게 착각할 수 있다. 사용자가 메일에 존재하는 악성 URL을 클릭할 경우…