제품소개서로 위장한 악성 워드 문서

ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다. 해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다. 문서…

ASEC 주간 악성코드 통계 ( 20220228 ~ 20220306 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 28일 월요일부터 3월 6일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 67.0%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.0%, 다운로더 6.8%, 뱅킹 악성코드 4.1%, 랜섬웨어 2.7%, 백도어 0.5% 로 집계되었다. Top 1 – Formbook 이번주는 인포스틸러 악성코드인 Formbook이 28.1%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. DH-0010302022.exe 85397635-622102032022-pdf.pif.exe…

취약한 데이터베이스 서버를 대상으로 유포 중인 Gh0stCringe RAT

ASEC 분석팀은 취약한 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 여기에서는 Gh0stCringe[1]라고 하는 RAT 악성코드를 다룬다. Gh0stCringe는 CirenegRAT이라고도 불리는 악성코드로서 Gh0st RAT의 코드를 기반으로 하는 변종 중 하나이다. 2018년 12월경에 처음 확인되었으며 SMB 취약점(ZombieBoy의 SMB 취약점 도구를 사용하여)을 통해 유포되었던 것으로 알려져 있다.[2] 이후 직접적인 연관 관계가 확인된 것은 아니지만 2020년 6월경 발간된 KingMiner 코인 마이너 분석 보고서[3]에서 언급된 바 있다. 최근 확인되고 있는 Gh0stCringe RAT은 취약한 데이터베이스 서버들을 대상으로 유포되고 있다. 자사 ASD 로그를 기반으로…

유튜브를 통해 유포 중인 정보 탈취형 악성코드

ASEC 분석팀은 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것을 확인하였다. 공격자는 발로란트 게임 핵을 위장하여 다음과 같은 동영상을 업로드하였으며, 아래의 백신을 끄고 설치하라는 설명과 함께 악성코드의 다운로드 링크를 삽입하였다. 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 과거에도 다음과 같은 ASEC 블로그에서 다룬 바 있다. [ASEC 블로그] 유튜브를 통해 유포 중인 RedLine 인포스틸러 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 다음과 같은 다운로드 페이지를 확인할 수 있다. 다운로드 페이지 주소 : hxxps://anonfiles[.]com/J0b03cKexf 파일…

20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포

대선을 앞두고 ASEC 분석팀은 “20대 대통령선거 선상투표 보도자료”를 가장한 악성 한글 문서가 유포중임을 확인하였다. 공격자는 02/28일 악성 한글 문서를 유포하였으며 해당 악성 문서는 확보되지 않았지만, 자사 ASD(AhnLab Smart Defense) 인프라 로그에 따르면 내부 OLE 개체를 통해 배치파일을 구동하여 파워쉘을 실행하는 형태로 추정된다. 유포 파일명: 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp [그림 1]은 인프라에 확인된 배치 파일 경로와 한글 파일명이다. 동일한 정상 한글 문서 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 보인다. %TEMP%\mx6.bat (배치파일 생성 경로) 이와 유사한…