다양한 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 최근 Emotet 악성코드가 링크 파일(.lnk)을 통해 유포되고 있음을 확인하였다. Emotet 악성코드의 경우 과거부터 꾸준히 유포되고 있으며 지난 4월부터 Emotet 다운로더가 엑셀 파일 뿐만 아니라 링크 파일(.lnk)도 사용하는 것으로 확인되었다. 확보한 EML 파일들은 모두 사용자 메일에 대한 회신인 것처럼 속여 악성 코드를 유포하는 공통점이 존재한다. [그림1] 메일에 첨부된 엑셀 파일의 경우 다음 블로그에서 공유한 매크로 시트를 활용한 유형과 동일한 방식을 사용한다. 엑셀 파일을 통해 유포 중인 Emotet 악성코드 엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 다운로드 URL은 다음과…

Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped)

작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무…

악성코드 감염 시 단순히 치료에 그쳐서는 안되는 이유

2022년 1월 국내 제조업 분야 유수의 기업에서 내부의 다수 시스템이 Darkside 랜섬웨어에 감염되는 피해가 발생했다. AD 그룹 정책을 이용해 Darkside 랜섬웨어가 배포된 정황이 확인되어, DC 서버 포렌식 분석을 시도했으나 가상 환경에서 운영 중이었던 DC 서버의 가상 환경 운영 시스템 자체가 손상되어 DC서버를 확보할 수는 없었다. 대신에 Darkside 랜섬웨어에 감염 후 기존 백업을 활용해 복구된 시스템 중 WebLogic 서버 2대가 유사 시기에 WebShell에 감염된 것이 확인되어, Darkside 랜섬웨어의 감염 원인이 WebShell인지를 파악하고자 포렌식 분석을 수행했다.  이전 스냅샷으로 복구된 WAS1, WAS2 서버를 분석…

코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm)

ASEC 분석팀은 윈도우 도움말 파일(*.chm) 형식의 악성코드가 지속적으로 유포되고 있음을 확인하였다. 최근 확인된 chm 파일은 <윈도우 도움말 파일(*.chm)로 유포되는 APT 공격>에서 소개한 파일과 동일한 유형으로 추가 악성코드 다운로드를 목적으로 한다. 해당 유형의 chm 파일은 주로 압축파일 형태로 유포되는 것으로 추정된다. 확인된 압축파일명과 내부 chm 파일명은 다음과 같다. 압축 파일명 내부 chm 파일명 코인분실자료.zip lost.chm 자료.zip 기본.chm 급여명세서.rar salary.chm 표1. 확인된 파일명 코인분실자료.zip 파일에는 다음과 같이 추가 압축 파일과 워드 문서가 포함되어 있다. 워드 문서의 경우 악성 기능이 없는 정상 파일로…

ASEC 주간 악성코드 통계 ( 20220502 ~ 20220508 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 2일 월요일부터 5월 8일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 73.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.3%, 랜섬웨어 5.0%, 다운로더 2.5%로 집계되었다 Top 1 –  AgentTesla 인포스틸러 악성코드인 AgentTesla 가 49.6%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…