탄소배출 전문기업 타겟 워드문서 공격

ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다. 악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된 wscript.exe 실행 인자는 다음과 같다. wscript.exe %AppData%\Microsoft\Templates\version.ini 이러한 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 감염 PC에 작업 스케줄러를…

악성코드 제작 툴을 위장하여 유포 중인 ClipBanker 악성코드

ASEC 분석팀은 최근 ClipBanker 악성코드가 악성코드 제작 툴로 위장하여 유포되고 있는 것을 확인하였다. ClipBanker 악성코드는 감염 시스템의 클립보드를 모니터링하면서 코인 지갑 주소 문자열이 복사된 경우 공격자가 지정한 지갑 주소로 변경시키는 기능을 갖는 악성코드이다. 이러한 유형의 악성코드는 과거부터 꾸준히 유포되고 있으며, 다음 블로그에서도 소개된 바 있다. [ASEC 블로그] 코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) ClipBanker 악성코드가 유포되고 있는 사이트는 다음과 같이 “Russia black hat”이라고 하는 곳으로서 악성코드 제작 툴을 포함한 다양한 해킹 관련 프로그램들이 업로드되어 있는 곳이다. 즉 해당…

윈도우 도움말 파일(*.chm)로 유포되는 APT 공격

ASEC 분석팀은 최근 윈도우 도움말 파일(*.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있음을 확인하였다. chm 파일은 컴파일 된 HTML Help 파일로 microsoft® html help executable 프로그램을 통해 실행된다. 최근 확인된 chm 파일은 실행 시 추가 악성 파일을 다운로드하며 이 과정에서 정상적인 내용을 담은 창이 실행되어 사용자가 악성 파일 임을 인지하기 어려운 특징이 존재한다. 악성 코드는 아래와 같이 압축 파일 형태로 메일에 첨부되어 유포된다. 첨부된 압축 파일 내부에는 워드 문서와 rar 파일이 포함되어 있다. RAR 파일 내부에는 악성 파일인 Guide.chm이 존재한다….

윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드

ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다. 다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다. ”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에…

ASEC 주간 악성코드 통계 ( 20220307 ~ 20220313 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 7일 월요일부터 3월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 12.4%, 다운로더 6.8%, 뱅킹 악성코드 5.9%, 랜섬웨어 2.7%, 백도어 0.3% 로 집계되었다. Top 1 –  AgentTesla 이번주는 인포스틸러 악성코드인 AgentTesla 가 29.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다….