Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중

최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는 과정에 ISO 파일을 이용하는 사례가 증가하고 있는 것을 알 수 있다. 먼저, Qakbot 을 유포하는 피싱 메일은 [그림 1] 과 같으며 악성 HTML 파일이 첨부되어 있는 형태이다. 첨부된 HTML 파일을…

매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28

ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다. 공격자는 9월 8일 이후에도 지난 9월 16일에는 JSE 확장자에서 JS 확장자로 변경하였다. 그리고 금일 공격자는 JS 확장자에서 WSF 확장자로 유포 방식을 변경하였다. 공격자는 V3와 같은 백신 제품의 다양한 탐지 방식을 회피하기 위해 지속적으로 변형을 유포하고 있는 것으로 보인다. 금일 변경된 WSF 유포 방식은 [그림 1], [그림 2]와 같이 크롬(Chrome) 및 엣지(Edge) 브라우저 모두 동일하게 단일 WSF 파일 형태로 유포하는 것이 특징이다. 매그니베르는…

ASEC 주간 악성코드 통계 (20220919 ~ 20220925)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 9월 19일 월요일부터 9월 25일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 51.3%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 21.1%, 다운로더 17.2%, 랜섬웨어가 10.3%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 20.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API 등을…

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다. 문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용…

라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서

북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…