코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker)

ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다.  https://asec.ahnlab.com/1276 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 사용자의 지갑 주소가 악성코드 제작자의 지갑 주소로 변경된다. 위에서는 비트코인과 모네로의 결과만 존재하지만, 이더리움, 라이트코인, ZCash, 비트코인캐시(기존 주소 및 신규 주소 모두) 등도 클립보드 하이재킹 공격의 대상이다. 감염된 환경에서는 악성코드가 IntelRapid라는 이름으로 동작하면서 복사한 클립보드를 공격자의 주소로 변경하는 작업을 수행한다. 최근에는 IntelRapid라는 이름 대신 RuntimeBroker라는 이름으로 감염된 컴퓨터에서 동작 중이다. IntelRapid 또는 RuntimeBroker로 실행된 악성코드는 이후 클립보드를 모니터링하다가 만약 사용자가 복사한 문자열이 코인 지갑 주소와 매칭된 경우 그 주소를 공격자의 주소들 중 하나로 변경한다. 공격자의 지갑 주소들은 리소스 섹션에 인코딩된 형태로 존재하며, 실행 후 메모리 상에 디코딩되어 있다가, 사용자가 지갑 주소를 복사했을 선택되어 원래 지갑 주소를 대체하게 된다. 다음은 과거 버전과 최근 변형의 차이점을 정리한다. 먼저 위에서도 언급했듯이 악성코드 실행 시 자기 자신을 복사하는 경로가 AppDataRoamingIntelRapidIntelRapid.exe 에서 AppDataRoamingRuntimeBrokerRuntimeBroker.exe 경로로 변경되었다. 참고로 이후 시작…

국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포

ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한다. https://asec.ahnlab.com/1308 이번에 확인된 문서는 메일을 통해 유포된 이력이 확인되었다. 아래 메일 캡처와 같이 보낸사람 주소를 특정 언론사 메일 주소로 사칭한 것으로 보인다.마지막에 최종적으로 실행 되는 악성 DLL은 국내 대형 게임업체의 인증서를 도용하여 정상 파일로 위장하려 했다는 특이점이 있다. 문서 WORD1은 실행시 [그림2]와 같이 Microsoft에서 제공되는 안내 문구 화면이 보이지만 이는 단순 캡처된 그림 파일로, 해당…

Lazarus 그룹의 방위산업체 대상 공격 증가

Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악성 DLL 파일을 시스템에 생성 및 동작한다. <?xml version=”1.0″…

[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포

ASEC 분석팀은 5월 6일 이력서와 공정거래위원회를 사칭한 악성코드가 다수 유포됨을 확인하였다. 해당 악성코드는 첨부파일 형태로 유포되는 악성코드이며 하나의 압축파일에 파일명은 유사하지만, 성격이 다른 악성코드들이 포함되어 함께 유포되었다. [그림 1] 이력서 사칭 이메일 악성코드 [그림 2] 공정거래위원회 사칭 이메일 악성코드 유포된 첨부 파일 중 “이력서.zip” 파일의 경우 내부에 2개의 실행 파일이 존재하였다. 먼저 아래 [그림 3]의 좌측 한글 문서(.hwp) 아이콘 실행 파일은 Nemty 랜섬웨어이고, 우측 PDF 문서 (.pdf) 아이콘 실행 파일은 “Vidar”이라고 알려진 정보 유출형 악성코드이다. [그림 3] 이력서.tar 압축 파일의 내부 실행…

포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의

HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을…