MS Office 정상 URL 위장하여 유포중인 워드문서

최근 워드 문서로 위장한 악성코드가 특정 경로(ex. 카카오톡 단체대화방)를 중심으로 유포되는 이슈가 공유된 바 있다. ASEC 분석팀은 추가 모니터링 과정에서, 유사 워드문서에 사용된 URL이 정상 URL과 유사성 측면에서 매우 교묘해지는 정황을 확인하여 사용자들에게 주의를 당부하고자 한다. 내부적으로 현재까지 확인된 악성 워드문서의 파일명은 다음과 같다.파일명에서 확인되는 내국인의 실명은 삭제처리(○○○)하였는데, 외교안보 분야의 전문가인 점과 파일명도 대북/대중/설문지/외교안보와 관련된 특징이 있었다. 위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서이며 Template Injetion 기능을 공격에 활용하였는데, 아래의 XML코드는 특정 워드 파일 내부에 존재하는 settings.xml.rels 파일을…

뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다. 확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다. 문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시…

Wiki 랜섬웨어 국내 유포 중

ASEC 분석팀은 안랩 ASD 인프라의 랜섬웨어 의심 행위 차단 이력을 통해, Crysis 랜섬웨어의 변종으로 확인되는 Wiki 랜섬웨어가 정상 프로그램으로 위장하여 유포되는 것을 확인하였다. Wiki 랜섬웨어는 실질적인 암호화를 수행하기 전, %AppData% 경로나 %windir%\system32 경로에 자가 복제를 수행하고 시작 프로그램에 등록을 위한 레지스트리 등록(HKLM\Software\Microsoft\Windows\CurrentVersion\Run) 및 파일 복사를 통하여 랜섬웨어의 감염 성공성을 높이는 작업을 진행한다. 추가적으로 종료할 데이터베이스 관련 서비스와 프로세스 명을 메모리 상에서 디코딩하고 현재 실행 중인 서비스와 프로세스를 조회하여 종료한다. 서비스 종료 대상 FirebirdGuardianDefaultInstanceFirebirdServerDefaultInstancesqlwritermssqlserversqlserveradhelper 프로세스 종료 대상 1c8.exe1cv77.exeoutlook.exepostgres.exemysqld-nt.exemysqld.exesqlservr.exe [표 1] 이…

ASEC 주간 악성코드 통계 (20221107 ~ 20221113)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 7일 월요일부터 11월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 37.8%로 1위를 차지하였으며, 그 다음으로는 인포스틸러 악성코드가 27.1%, 뱅킹 22.9%, 백도어 11.2%, 랜섬웨어와 코인마이너가 0.5%로 집계되었다. Top 1 – Emotet 6개월 만에 돌아온 Emotet 악성코드는 22.9%로 1위를 기록하였다. Emotet은 스팸 메일의 첨부 파일을 통해 유포되는 대표적인 뱅킹 악성코드이다. 국제적인 공조를 통해 무력화되기도 했던 Emotet은 최근…

Koxic 랜섬웨어 국내 유포 중

Koxic 랜섬웨어의 국내 유포 정황이 확인되었다. 올해 초 최초로 수집되었지만 파일 외형과 내부 랜섬노트가 변형된 파일이 최근 ASD 인프라를 통해 탐지 및 차단된 이력을 확인하였다. 감염 시 암호화된 파일의 이름에 “.KOXIC_[랜덤문자열]” 확장자가 추가되며, 각 디렉터리에 TXT 파일의 랜섬 노트를 생성한다. 랜섬노트의 파일명은 다음과 같다. 최근 수집된 샘플의 랜섬 노트는 한 때 국내에 활발하게 유포되었던 BlueCrab(Sodinokibi, REvil) 랜섬웨어와 유사하다. BlueCrab의 경우 별도의 웹 사이트를 제작하여 TOR 브라우저를 사용하여 접속할 것을 명시하지만, Koxic 랜섬웨어는 이메일을 통해 연락을 유도한다는 차이점이 있다. 이전에 수집된…