국내 유명 포털 서비스로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 포털 서비스를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 해당 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다. 메일 제목 및 본문은 아래와 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다. 본문 메일에 연결된 링크로 접속하면, 아래와 같은 국내 유명 포털 서비스를 사칭한 피싱사이트로 연결된다. 피싱 사이트 URL : hxxp://www.eylulrentacar[.]com/indexh.html 정상적인 포털 서비스 로그인 사이트와 달리 피싱 사이트는 일회용 번호, QR코드, 비밀번호 찾기,…

엑셀 문서를 통해 Emotet 악성코드 국내 유포 중

ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 엑셀 문서가 존재한다. Scan_2456321.xlsx 파일의 경우 이전과 동일하게 Auto_Open으로 설정되어 있는 셀의 수식을 통해 악성 명령어를 실행한다. 숨겨진 시트에는 [그림 5]와 같은 수식이 존재하여 사용자가…

워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…

Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황

2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다. 기존 Gold Dragon이 사용하는 인젝션 기법이 동일 (iexplore.exe, svchost.exe 등에 프로세스 할로잉 하는 행위) 자사 제품 실시간 탐지 윈도우 클래스 종료 기능 (49B46336-BA4D-4905-9824-D282F05F6576) 다음 클리너(daumcleaner.exe) 프로세스 종료 공격자는 Gold Dragon을…

ASEC 주간 악성코드 통계 ( 20220117 ~ 20220123 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 17일 월요일부터 1월 23일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 64.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.8%, 뱅킹 악성코드가 7.9%, 다운로더가 3.5%, 랜섬웨어와 코인마이너가 각각 3.0%, 1.5% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 29.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보…