지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다. VBA 코드를 포함하는 PPAM 파일의 매크로가 실행되면 mshta.exe를 통해 외부의 스크립트를 호출하며 해당 웹페이지는 악성 스크립트가 삽입되어있는 blogger 웹사이트(Final…

S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로 압축 해제가 불가능하도록 트릭을 적용하였다. CryptBot 악성코드는 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한 악성 사이트에서 유포되며 자세한 내용은 아래 블로그를 참고하길 바란다. 기존 CryptBot 악성코드는 7z SFX 방식으로 유포되었다….

ASEC 주간 악성코드 통계 ( 20210802 ~ 20210808 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 8월 2일 월요일부터 2021년 8월 8일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.4%, 다운로더 11.3%, 코인마이너 7.6%, 랜섬웨어 4.3%, Ddos 0.6% 로 집계되었다. Top 1 – RedLine RedLine 악성코드가 12.8%로 지난주에 이어 1위를 차지했다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C…

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고…

JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?

JS 파일 형태로 유포되는 BlueCrab(Sodinokibi, REvil) 랜섬웨어가 2021.07.13부터 유포가 중지되었다. 그간 일정 기간 유포를 중단한 이후 변형을 만들어 유포하던 이력이 다수 존재하지만 이처럼 장기간 동안 유포를 중단한 사례는 없었다. BlueCrab 랜섬웨어는 파일 다운로드를 위장한 포럼 페이지를 통해 유포되며, JS 파일을 다운로드받아 실행 시 C2를 통해 다운로드되는 스크립트가 실행되며 랜섬웨어에 감염되는 구조이다. 국내 사용자를 타겟으로 하며 자사 AV 제품을 겨냥한 꾸준한 변형을 만들어왔기 때문에 중점 모니터링 대상이었다. 이에 ASEC 분석팀에서는 자동화된 모니터링 시스템을 구축하여 변형 발생 시 빠르게 대응하고 있으며 본…